Aktiv gepflegt wird der main-Branch. Sicherheitsrelevante Fixes fließen dort zuerst ein.
| Branch | Unterstützt |
|---|---|
main |
✅ |
develop |
✅ |
| sonstige | ❌ |
Bitte melde Sicherheitslücken nicht über öffentliche Issues, sondern vertraulich über GitHub Security Advisories.
Bitte gib nach Möglichkeit an:
- betroffene Komponente (
api-gateway,frontend,analytics-service, Infrastruktur), - Beschreibung und möglichen Impact,
- Schritte zur Reproduktion (PoC),
- betroffene Version / Commit.
Du erhältst zeitnah eine Rückmeldung. Verantwortungsvolle Offenlegung wird ausdrücklich begrüßt.
- Container-Image-Scan (Trivy) in der Pipeline — kein Merge bei HIGH/CRITICAL CVEs.
- Automatische Dependency-Updates via Dependabot (Maven, npm, GitHub Actions, Docker).
- Secrets ausschließlich über Vault/Sealed-Secrets (siehe ADR-006), niemals im Repository.