Sicherheitsupdates werden für folgende Versionen bereitgestellt:
| Version | Unterstützt |
|---|---|
| 0.1.x | ✅ Ja |
| < 0.1 | ❌ Nein |
Bitte melde Sicherheitslücken niemals als öffentliches GitHub-Issue.
Verwende stattdessen die GitHub Security Advisories dieses Repositories:
- Navigiere zur Seite „Security" des Repositories
- Klicke auf „Report a vulnerability"
- Fülle das Formular mit allen verfügbaren Details aus
Alternativ kann eine verschlüsselte E-Mail an die Maintainer gesendet werden – die Kontaktdaten sind im Repository-Profil hinterlegt.
Um uns eine schnelle Bearbeitung zu ermöglichen, bitten wir um folgende Angaben:
- Beschreibung des Problems und der potenziellen Auswirkungen
- Betroffene Komponente(n) (z. B.
KernDialog,ThemeService) - Reproduktionsschritte (minimales Beispiel, falls möglich)
- Betroffene Version(en)
- Mögliche Gegenmaßnahmen, sofern du welche kennst
| Schritt | Zeitrahmen |
|---|---|
| Eingangsbestätigung | Innerhalb von 5 Werktagen |
| Erstbewertung und Rückmeldung | Innerhalb von 10 Werktagen |
| Patch-Veröffentlichung | Abhängig vom Schweregrad |
Bei kritischen Lücken (CVSS ≥ 9.0) wird ein Hotfix priorisiert.
- Bibliotheks-Code in
PublicKernBlazor.Components/(C#, Razor-Komponenten) - Statische Assets (
wwwroot/css/,wwwroot/js/) - Services (
ThemeService,IdGeneratorService)
- KERN-UX-Upstream (
Styles/core/) – Lücken dort bitte direkt an kern-ux.de oder das GitLab-Repository melden - Demo-Anwendung (
PublicKernBlazor.Demo/) – enthält keine produktiv eingesetzten Geheimnisse - Smoke-Tests (
PublicKernBlazor.Demo.SmokeTests/)
Nach der Behebung einer Sicherheitslücke wird ein GitHub Security Advisory veröffentlicht. Die Veröffentlichung erfolgt koordiniert – in der Regel nach dem Release des Patches, sodass Nutzer:innen Zeit haben, ihre Abhängigkeit zu aktualisieren.