SEC_017_NO_SECRET_HISTORY_PAYLOADS: Secrets werden nicht historisiert

Severity: must. Bereich: security.

Regel

Magic Codes, OTP-Klarwerte, Session-Secrets, Reset-Tokens, API-Keys, OAuth-Tokens und vergleichbare Geheimnisse DUERFEN nicht in old_data, new_data, changed_fields, Audit-Events oder Restore-Payloads persistiert werden. Erlaubt sind nur nicht-sensitive Metadaten wie Zeitpunkt, Hash-Status, Ablaufzeit oder Konsumstatus.

Reflection-Check

check:
  reflect:
    fields:
    - contains_secret
    - redaction_policy
    objects:
    - history_table
    - audit_event

Evidence

alle Regeln dieses Bereichs