K
Cloud-API-Keys
Nutzen Sie eng begrenzte Tokens, wenn möglich. Rotieren Sie jeden Key in Logs, Screenshots oder Testausgaben.
Sicherheitsmodell
Kennen Sie die benötigten Zugangsdaten vor dem Deploy.
PrivateDeploy automatisiert sensible Infrastruktur. Cloud-API-Keys, SSH-Keys, Knotenpasswörter und Abo-Links sind Produktionsgeheimnisse.
S
SSH-Material
DigitalOcean-Recovery nutzt ein verwaltetes ed25519-Keypair mit Root-Zugriff auf erstellte Droplets.
N
Knoten-Zugangsdaten
Protokollpasswörter, UUIDs, Reality-Keys und Share-Links sind Secrets.
L
Lokaler Speicher
Tokens und sensible Konfiguration sollten OS-Keyring-Speicher statt Klartextdateien nutzen.
Sicherheitscheckliste für Preview-Releases
Vor der Verteilung eines Builds müssen diese Checks für genau diesen Tag erfüllt sein.
Bereich
Gate
Erforderliches Ergebnis
Secret-Scan
Erforderlich
Keine API-Keys, privaten Keys, Tokens, Passwörter, Knotenlinks oder Abo-URLs in Source oder Artefakten.
Release-Artefakte
Erforderlich
Jede Binärdatei hat einen SHA256-Checksum und stammt aus demselben Commit/Tag.
Cloud-Smoke-Tests
Provider-spezifisch
Provider erst nach Erstellen, Deploy, Verbinden, ggf. Recovery und Löschen als verifiziert markieren.
iOS-Support
Bedingt
iOS als build-required markieren, außer VPNCore und Entitlements sind auf echtem Gerät validiert.
Datenverarbeitung
PrivateDeploy sollte als local-first-Infrastrukturwerkzeug bewertet werden.
Kein gehosteter VPN-Dienst
Das Projekt stellt keine gemeinsamen Proxy-Server bereit. Sie deployen Knoten in kontrollierte Konten und Hosts.
Secrets bleiben sensibel
Cloud-API-Keys, SSH-Keys, Passwörter, UUIDs und Abo-Links gehören nicht in öffentliche Issues.
Schwachstellen melden
Nutzen Sie GitHub Issues für nicht-sensitive Bugs. Für ausnutzbare Meldungen verwenden Sie private Advisories, falls verfügbar.
Verantwortliche Nutzung
PrivateDeploy nur mit Infrastruktur und Konten nutzen, die Ihnen gehören oder die Sie verwalten dürfen. Prüfen Sie Cloud-Provider-Bedingungen vor dem Deploy.
lokales Release-Gate
bash scripts/check_versions.sh
scripts/secret_scan.sh