Sicherheit

Dieses Kapitel beschreibt die Sicherheitsarchitektur der easySale-Plattform.

Sicherheitsmeldungen

Sicherheitslücken bitte nicht als öffentliches GitHub Issue melden.
Kontakt: security@easysale.de oder via GitHub Security Advisories.

• Security Policy
  Unterstützte Versionen, Meldeverfahren, Response-Zeiten

• Dependency Scanning
  Multi-Layer Scanning für Flutter, npm und GitHub Actions

• OWASP Audit Report
  Detaillierte OWASP Top 10 2021 Code-Analyse ✅ 100% behoben (37/37)

• Penetration Testing
  Pentest-Framework, Methodik und geplanter Pentest (nach Kundengewinnung)

• Security Training
  Developer Security Training, OWASP Guide, Secure Coding Guidelines

Interne Sicherheitsdokumente

Detaillierte Security-Audits, OWASP-Analysen und Findings-Berichte sind nicht öffentlich und liegen ausschließlich im internen Core-Repository unter core/docs/.

Sicherheitsarchitektur

Die wichtigsten Sicherheitsprinzipien:

1. Mandanten-Isolation — Firestore Security Rules verhindern Cross-Tenant-Zugriff
2. Server-seitige Preisvalidierung — Cloud Functions ignorieren Client-Preise
3. Firebase Auth Custom Claims — customerId wird als JWT-Claim gesetzt, nicht vom Client
4. Single-Tenant pro Firebase — keine geteilte Datenbank