Security Audits
Public log of our regular security reviews.
Translation notice — The German version of this document is the legally binding original. This English translation is provided for informational purposes only. Individual audit summaries are published in their original language. In case of any conflict between this translation and the German version, the German text shall govern. View authoritative German version.
Methodology
We audit our security hygiene monthly via automation plus ad-hoc before every major deploy. We publish the results here in redacted form (responsible disclosure).
Audits run via a publicly documented skill and review:
- Dependencies — CVEs in PHP and JS packages (composer audit, npm audit)
- HTTP headers — HSTS, CSP, X-Frame-Options, Referrer-Policy on rankion.ai
- Configuration hygiene — .env exposure, debug mode, storage symlinks
- Auth / session — CSRF, session cookies, hashing
- Code patterns — SQL-injection risks, mass-assignment, output escaping
- Operational — backups, queue workers, disk usage
What we publish:
- Date, scope, methodology, severity counts, remediation status, next audit
- No specific CVE numbers of open findings, no file paths, no exploit details, no library versions during the patch window
Next scheduled audit: 2026-05-15
Audit log
Audit — 03.05.2026
6 FindingsVollständigen Bericht zeigen
Security Audit — 03. Mai 2026
Auditor: Rankion Self-Audit (automatisiert via rankion-security-audit Skill v1.0) Scope: Dependencies, HTTP-Header, Konfiguration, Code-Pattern-Scan, Versionen
Findings
| Severity | Anzahl | Status |
|---|---|---|
| Kritisch | 0 | — |
| Hoch | 1 | Behoben binnen 0h (Patch deployed 03.05.2026) |
| Mittel | 3 | 2 behoben binnen 0h, 1 im Backlog (Code-Pattern, geplant Q2 2026) |
| Niedrig | 2 | 1 behoben binnen 0h, 1 im Backlog (Konfigurations-Detail) |
Patch-Update (03.05.2026)
4 von 6 Findings wurden noch am Audit-Tag durch Composer-Updates behoben (deployed Commit bd02f9b5):
- Hoch (1): PHP-Dependency Padding-Oracle — gepatcht durch Upstream-Update
- Mittel (2): PHP-Dependency Markdown-Sanitizer-Bypasses — gepatcht durch Upstream-Update
- Niedrig (1): PHP-Dependency Variable-Time-HMAC — gepatcht im selben Update
Im Backlog (2):
- Mittel (1): Code-Pattern-Befund zu Mass-Assignment in 26 Eloquent-Models — strukturelles Refactoring, geplant Q2 2026
- Niedrig (1): Konfigurations-Detail (HTTP-Status-Code für nicht existierende Datei sollte 404 statt 403 sein) — kosmetisch, kein Sicherheitsrisiko
Aussage
Der Baseline-Audit ergab keine kritischen Findings. Alle PHP-Dependency-Befunde (1 hoch, 2 mittel, 1 niedrig) wurden noch am Audit-Tag durch Upstream-Updates geschlossen — die 72h-SLA aus unseren TOMs wurde mit 0h Reaktionszeit deutlich unterboten. Zwei Befunde verbleiben im Backlog (1 mittlerer Code-Pattern-Befund und 1 niedrige Konfigurations-Anpassung). Alle wesentlichen HTTP-Sicherheits-Header (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) sind aktiv. Konfigurationsdateien (.env, _ignition, .git) sind nicht öffentlich abrufbar. Die JS-Abhängigkeitskette (Production-only) ist ohne Befund.
Geprüfte Bereiche
- Dependencies: PHP- und JS-Pakete (composer audit, npm audit)
- HTTP-Header: rankion.ai-Live-Response gegen die OWASP-Header-Baseline
- Konfiguration: Exposure-Tests für
.env, Debug-Routen, VCS-Verzeichnisse - Code-Patterns: Output-Escaping, Mass-Assignment, gefährliche Funktionen
- Versionen: PHP- und Framework-Releases gegen Supportmatrix
Methodik
Vollständige Methodik und Skill-Definition: /trust/security-audit-skill
Nächster Audit
Geplant: 15. Juni 2026
Last update: 2026-05-03