Auditorías de seguridad
Registro público de nuestras revisiones de seguridad periódicas.
Aviso de traducción — La versión alemana de este documento es el original jurídicamente vinculante. Esta traducción se proporciona únicamente con fines informativos. Los resúmenes de auditoría individuales se publican en su idioma original. En caso de discrepancia entre esta traducción y la versión alemana, el texto alemán prevalece. Ver versión alemana de referencia.
Metodología
Auditamos nuestra higiene de seguridad mensualmente mediante automatización y de manera ad-hoc antes de cada despliegue importante. Publicamos aquí los resultados en forma redactada (responsible disclosure).
Las auditorías se ejecutan mediante un skill documentado públicamente y revisan:
- Dependencias — CVE en paquetes PHP y JS (composer audit, npm audit)
- Cabeceras HTTP — HSTS, CSP, X-Frame-Options, Referrer-Policy en rankion.ai
- Higiene de configuración — exposición de .env, modo debug, enlaces simbólicos de almacenamiento
- Autenticación / sesión — CSRF, cookies de sesión, hashing
- Patrones de código — riesgos de inyección SQL, mass-assignment, escapado de salidas
- Operacional — copias de seguridad, queue workers, uso de disco
Lo que publicamos:
- Fecha, alcance, metodología, conteos por gravedad, estado de remediación, próxima auditoría
- Ningún número CVE específico de findings abiertos, ninguna ruta de archivo, ningún detalle de exploit, ninguna versión de biblioteca durante la ventana de parche
Próxima auditoría programada: 15/05/2026
Registro de auditorías
Audit — 03.05.2026
6 FindingsVollständigen Bericht zeigen
Security Audit — 03. Mai 2026
Auditor: Rankion Self-Audit (automatisiert via rankion-security-audit Skill v1.0) Scope: Dependencies, HTTP-Header, Konfiguration, Code-Pattern-Scan, Versionen
Findings
| Severity | Anzahl | Status |
|---|---|---|
| Kritisch | 0 | — |
| Hoch | 1 | Behoben binnen 0h (Patch deployed 03.05.2026) |
| Mittel | 3 | 2 behoben binnen 0h, 1 im Backlog (Code-Pattern, geplant Q2 2026) |
| Niedrig | 2 | 1 behoben binnen 0h, 1 im Backlog (Konfigurations-Detail) |
Patch-Update (03.05.2026)
4 von 6 Findings wurden noch am Audit-Tag durch Composer-Updates behoben (deployed Commit bd02f9b5):
- Hoch (1): PHP-Dependency Padding-Oracle — gepatcht durch Upstream-Update
- Mittel (2): PHP-Dependency Markdown-Sanitizer-Bypasses — gepatcht durch Upstream-Update
- Niedrig (1): PHP-Dependency Variable-Time-HMAC — gepatcht im selben Update
Im Backlog (2):
- Mittel (1): Code-Pattern-Befund zu Mass-Assignment in 26 Eloquent-Models — strukturelles Refactoring, geplant Q2 2026
- Niedrig (1): Konfigurations-Detail (HTTP-Status-Code für nicht existierende Datei sollte 404 statt 403 sein) — kosmetisch, kein Sicherheitsrisiko
Aussage
Der Baseline-Audit ergab keine kritischen Findings. Alle PHP-Dependency-Befunde (1 hoch, 2 mittel, 1 niedrig) wurden noch am Audit-Tag durch Upstream-Updates geschlossen — die 72h-SLA aus unseren TOMs wurde mit 0h Reaktionszeit deutlich unterboten. Zwei Befunde verbleiben im Backlog (1 mittlerer Code-Pattern-Befund und 1 niedrige Konfigurations-Anpassung). Alle wesentlichen HTTP-Sicherheits-Header (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) sind aktiv. Konfigurationsdateien (.env, _ignition, .git) sind nicht öffentlich abrufbar. Die JS-Abhängigkeitskette (Production-only) ist ohne Befund.
Geprüfte Bereiche
- Dependencies: PHP- und JS-Pakete (composer audit, npm audit)
- HTTP-Header: rankion.ai-Live-Response gegen die OWASP-Header-Baseline
- Konfiguration: Exposure-Tests für
.env, Debug-Routen, VCS-Verzeichnisse - Code-Patterns: Output-Escaping, Mass-Assignment, gefährliche Funktionen
- Versionen: PHP- und Framework-Releases gegen Supportmatrix
Methodik
Vollständige Methodik und Skill-Definition: /trust/security-audit-skill
Nächster Audit
Geplant: 15. Juni 2026
Última actualización: 03/05/2026