Wir unterstützen derzeit die folgenden Versionen mit Sicherheitsupdates:
| Version | Unterstützt |
|---|---|
| develop | ✅ |
| main | ✅ |
Die Sicherheit unseres Projekts ist uns sehr wichtig. Wenn Sie eine Sicherheitslücke entdeckt haben, helfen Sie uns bitte, diese verantwortungsvoll zu beheben.
- Öffentliche GitHub Issues für Sicherheitsprobleme erstellen
- Sicherheitslücken öffentlich diskutieren
- Die Schwachstelle ausnutzen
-
Private Meldung: Nutzen Sie GitHubs Private Vulnerability Reporting:
- Gehen Sie zu: https://github.com/talent-factory/ki-development/security/advisories/new
- Oder melden Sie sich per E-Mail (siehe unten)
-
Informationen bereitstellen:
- Art der Schwachstelle
- Schritte zur Reproduktion
- Betroffene Versionen/Komponenten
- Mögliche Auswirkungen
- Vorschläge für Fixes (optional)
-
Kontakt:
- GitHub Security Advisory (bevorzugt)
- E-Mail: daniel.senften@talent-factory.ch
- Bestätigung: Innerhalb von 48 Stunden
- Erste Bewertung: Innerhalb von 5 Werktagen
- Status-Updates: Regelmässige Kommunikation während der Behebung
- Anerkennung: Mit Ihrer Erlaubnis werden Sie in den Release Notes erwähnt
NIEMALS API-Schlüssel in Code oder öffentlichen Repositories committen:
# .env Datei für lokale Entwicklung (NICHT committen!)
ANTHROPIC_API_KEY=sk-ant-...
OPENAI_API_KEY=sk-...Stellen Sie sicher, dass .env in .gitignore steht:
.env
.env.local
*.key
Verwenden Sie Umgebungsvariablen für sensible Daten:
import os
from dotenv import load_dotenv
load_dotenv()
api_key = os.getenv("ANTHROPIC_API_KEY")Verwenden Sie immer virtuelle Umgebungen:
uv venv
source .venv/bin/activateHalten Sie Dependencies aktuell:
uv pip list --outdated
uv pip install --upgrade paket-name- Überprüfen Sie Code aus unbekannten Quellen
- Seien Sie vorsichtig bei externen Dependencies
- Nutzen Sie Tools wie
pip-auditzur Sicherheitsüberprüfung
Wir führen regelmässig durch:
- Dependency Scanning
- Code Reviews
- Security Audits
- Penetration Tests (bei Bedarf)
- Keine automatische Kostenbegrenzung
- Benutzer sind selbst für API-Kosten verantwortlich
- Überwachen Sie Ihre API-Nutzung regelmässig
- Sensible Daten nie an externe APIs senden
- Lokale Modelle für vertrauliche Informationen verwenden
- DSGVO-Konformität bei Verwendung von Cloud-Services beachten
Dieses Projekt behandelt:
- Keine persönlichen Daten standardmässig
- Benutzerverantwortung für API-Nutzung
- Lokale Verarbeitung wo möglich
Bei der Verwendung externer APIs (OpenAI, Anthropic, etc.):
- Lesen Sie deren Privacy Policies
- Verstehen Sie Datenverarbeitungsrichtlinien
- Halten Sie gesetzliche Anforderungen ein
- Code-Reviews: Alle PRs werden auf Sicherheitsprobleme überprüft
- Secrets Scanning: Automatisch in CI/CD aktiviert
- Dependencies: Regelmässige Updates und Audits
- Best Practices: Folgen Sie Python-Security-Guidelines
Für sicherheitsrelevante Fragen:
- GitHub Security Advisory: https://github.com/talent-factory/ki-development/security/advisories
- E-Mail: daniel.senften@talent-factory.ch
- Issues (für nicht-sicherheitskritische Themen): https://github.com/talent-factory/ki-development/issues
Wir folgen den Prinzipien der verantwortungsvollen Offenlegung:
- Sicherheitsforscher melden Schwachstellen privat
- Wir bestätigen und bewerten die Meldung
- Wir arbeiten an einem Fix
- Koordinierte öffentliche Bekanntgabe nach dem Fix
- Anerkennung des Forschers (mit Zustimmung)
Vielen Dank, dass Sie helfen, dieses Projekt sicher zu halten!