Sicherheit und Meldung von Schwachstellen

• Supabase Auth schützt Logins, Sessions und Magic Links.
• Row Level Security trennt nutzer- und organisationsbezogene Daten auf Datenbankebene.
• Dokumente werden in privaten Storage-Buckets gespeichert.
• Serverseitige Service-Role-Keys werden nicht an den Browser ausgeliefert.
• API-Schlüssel von Nutzern werden nach dem Speichern nicht erneut angezeigt und verschlüsselt gespeichert, wenn SPACETAX_SECRET_KEY gesetzt ist.
• Security-Header reduzieren Risiken durch Framing, MIME-Sniffing und unnötige Browser-Berechtigungen.

Sicherheitsprobleme sollten vertraulich an den Betreiber der jeweiligen Instanz gemeldet werden. Öffentliche Issues oder Diskussionen dürfen keine Exploit-Details, API-Schlüssel, Belege, Steuerdaten oder personenbezogene Daten enthalten.

Kontakt: hi@pascalmey.com

• SPACETAX_SECRET_KEY ist gesetzt.
• SUPABASE_SERVICE_ROLE_KEY bleibt server-only.
• Legacy WEBHOOK_SECRET-Modus ist deaktiviert.
• Demo- und Migration-Flags sind deaktiviert.
• Preflight, Lint, Build und Browser-QA laufen grün.
• Branch Protection, Code Scanning, Secret Scanning und Dependabot sind aktiv, wenn das Repository öffentlich betrieben wird.