Audits de sécurité
Journal public de nos revues de sécurité régulières.
Avis de traduction — La version allemande de ce document est l'original juridiquement contraignant. Cette traduction est fournie à titre informatif uniquement. Les résumés d'audit individuels sont publiés dans leur langue d'origine. En cas de divergence entre cette traduction et la version allemande, le texte allemand prévaut. Voir la version allemande de référence.
Méthodologie
Nous auditons notre hygiène de sécurité mensuellement par automatisation ainsi que de manière ad-hoc avant chaque déploiement majeur. Nous publions ici les résultats sous forme expurgée (responsible disclosure).
Les audits sont exécutés via un skill documenté publiquement et examinent :
- Dépendances — CVE dans les paquets PHP et JS (composer audit, npm audit)
- En-têtes HTTP — HSTS, CSP, X-Frame-Options, Referrer-Policy sur rankion.ai
- Hygiène de configuration — exposition de .env, mode debug, liens symboliques de stockage
- Authentification / session — CSRF, cookies de session, hachage
- Patterns de code — risques d'injection SQL, mass-assignment, échappement des sorties
- Opérationnel — sauvegardes, queue workers, utilisation disque
Ce que nous publions :
- Date, périmètre, méthodologie, comptes par gravité, statut de remédiation, prochain audit
- Aucun numéro CVE spécifique pour les findings ouverts, aucun chemin de fichier, aucun détail d'exploit, aucune version de bibliothèque pendant la fenêtre de patch
Prochain audit prévu : 15/05/2026
Journal d'audit
Audit — 03.05.2026
6 FindingsVollständigen Bericht zeigen
Security Audit — 03. Mai 2026
Auditor: Rankion Self-Audit (automatisiert via rankion-security-audit Skill v1.0) Scope: Dependencies, HTTP-Header, Konfiguration, Code-Pattern-Scan, Versionen
Findings
| Severity | Anzahl | Status |
|---|---|---|
| Kritisch | 0 | — |
| Hoch | 1 | Behoben binnen 0h (Patch deployed 03.05.2026) |
| Mittel | 3 | 2 behoben binnen 0h, 1 im Backlog (Code-Pattern, geplant Q2 2026) |
| Niedrig | 2 | 1 behoben binnen 0h, 1 im Backlog (Konfigurations-Detail) |
Patch-Update (03.05.2026)
4 von 6 Findings wurden noch am Audit-Tag durch Composer-Updates behoben (deployed Commit bd02f9b5):
- Hoch (1): PHP-Dependency Padding-Oracle — gepatcht durch Upstream-Update
- Mittel (2): PHP-Dependency Markdown-Sanitizer-Bypasses — gepatcht durch Upstream-Update
- Niedrig (1): PHP-Dependency Variable-Time-HMAC — gepatcht im selben Update
Im Backlog (2):
- Mittel (1): Code-Pattern-Befund zu Mass-Assignment in 26 Eloquent-Models — strukturelles Refactoring, geplant Q2 2026
- Niedrig (1): Konfigurations-Detail (HTTP-Status-Code für nicht existierende Datei sollte 404 statt 403 sein) — kosmetisch, kein Sicherheitsrisiko
Aussage
Der Baseline-Audit ergab keine kritischen Findings. Alle PHP-Dependency-Befunde (1 hoch, 2 mittel, 1 niedrig) wurden noch am Audit-Tag durch Upstream-Updates geschlossen — die 72h-SLA aus unseren TOMs wurde mit 0h Reaktionszeit deutlich unterboten. Zwei Befunde verbleiben im Backlog (1 mittlerer Code-Pattern-Befund und 1 niedrige Konfigurations-Anpassung). Alle wesentlichen HTTP-Sicherheits-Header (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) sind aktiv. Konfigurationsdateien (.env, _ignition, .git) sind nicht öffentlich abrufbar. Die JS-Abhängigkeitskette (Production-only) ist ohne Befund.
Geprüfte Bereiche
- Dependencies: PHP- und JS-Pakete (composer audit, npm audit)
- HTTP-Header: rankion.ai-Live-Response gegen die OWASP-Header-Baseline
- Konfiguration: Exposure-Tests für
.env, Debug-Routen, VCS-Verzeichnisse - Code-Patterns: Output-Escaping, Mass-Assignment, gefährliche Funktionen
- Versionen: PHP- und Framework-Releases gegen Supportmatrix
Methodik
Vollständige Methodik und Skill-Definition: /trust/security-audit-skill
Nächster Audit
Geplant: 15. Juni 2026
Dernière mise à jour : 03/05/2026