Sicherheit bei Semaphore UI
Semaphore UI ist eine selbstverwaltete Plattform, die es DevOps-Teams ermöglicht, Infrastruktur sicher mit Ansible, Terraform und benutzerdefinierten Skripten zu automatisieren.
Wir verstehen, dass Sicherheit für unsere Benutzer von entscheidender Bedeutung ist, und dieses Dokument beschreibt die Prinzipien, Praktiken und Funktionen, die dazu beitragen, Ihre Daten und Systeme zu schützen.
🔐 Datenspeicherung und Datenschutz
- Semaphore UI ist vollständig selbstgehostet – alle Ihre Daten bleiben in Ihrer Umgebung.
- Wir sammeln oder übertragen keine Ihrer Anmeldeinformationen, Geheimnisse, Bestände, Playbooks, Protokolle oder Telemetrie.
- Sie haben die volle Kontrolle über Datenspeicherung, Zugriff, Backup und Aufbewahrungsrichtlinien.
🔧 Sicher durch Design
- Entwickelt in Go, einer kompilierten, speichersicheren Sprache.
- Minimale externe Abhängigkeiten.
- Klare Trennung zwischen Web-UI, API und Aufgaben-Executoren.
- Folgt dem Prinzip der minimalen Berechtigung für interne Operationen.
🔍 Sicherheitstools für den Code
Um die Codequalität aufrechtzuerhalten und Sicherheitsprobleme zu verhindern, verwenden wir die folgenden Tools:
- GitHub CodeQL – semantische Codeanalyse, die Code als Daten abfragt, um Schwachstellen und Fehler zu erkennen.
- Codacy – statische Codeanalyse für die Codequalität.
- Snyk – automatische Überprüfung auf bekannte Schwachstellen in Abhängigkeiten.
- RenovateBot – automatisiert Abhängigkeitsupdates, um die Exposition gegenüber veralteten oder anfälligen Paketen zu reduzieren.
🧑💼 Zugriffskontrolle und Authentifizierung
- Eingebaute rollenbasierte Zugriffskontrolle (Besitzer, Manager, Aufgabenläufer, Gast).
- Optionale Zwei-Faktor-Authentifizierung (TOTP).
- Projekt- und umgebungsspezifische Isolation.
- Unterstützung für LDAP und OAuth2 SSO.
🔍 Auditing und Überwachung
- Alle UI-Aktionen werden mit Zeitstempeln und Benutzer-IDs protokolliert.
- Protokolle werden lokal gespeichert und können in externe Protokollierungs- oder SIEM-Tools exportiert werden.
- Kann hinter einem Reverse-Proxy (z. B. NGINX, Traefik) bereitgestellt werden, um IP-Filterung, Ratenbegrenzungen und erweiterte Authentifizierung hinzuzufügen.
🔄 Updates und Patch-Management
- Wir empfehlen, immer die neueste stabile Version zu verwenden.
- Sicherheitsupdates werden schnell veröffentlicht, sobald Probleme bestätigt und behoben sind.
📣 Verantwortliche Offenlegung
Wenn Sie eine Sicherheitsanfälligkeit entdecken, melden Sie diese bitte verantwortungsbewusst per E-Mail an [email protected].
Wir streben an:
- Ihren Bericht innerhalb von 1 Geschäftstag anzuerkennen.
- Eine Lösung oder Statusaktualisierung innerhalb von 7 Geschäftstagen bereitzustellen.
🛠️ Beste Praktiken für sichere Bereitstellung
Um eine sichere Installation zu gewährleisten:
- Führen Sie Semaphore UI in einem privaten Netzwerk oder VPN aus.
- Beenden Sie HTTPS mit einem Reverse-Proxy mit einem gültigen TLS-Zertifikat.
- Beschränken Sie den externen Zugriff mithilfe von Firewall-Regeln oder IP-Whitelist.
- Aktualisieren Sie regelmäßig Ihre Semaphore UI-Instanz und Abhängigkeiten.
📜 Compliance und Datenschutz
Semaphore UI ist datenschutzfreundlich und unterstützt Ihre Compliance-Bemühungen:
- DSGVO: Alle Daten bleiben lokal und unter Ihrer Kontrolle.
- CCPA: Keine Verfolgung, keine Profilierung, keine Weitergabe von Daten an Dritte.
✅ Zusammenfassung
Semaphore UI ist von Grund auf für Sicherheit und Datenschutz konzipiert. Es gibt Teams die Möglichkeit zur Automatisierung, ohne die Kontrolle zu gefährden. Mit der richtigen Installation und Konfiguration kann es selbst strengen internen Sicherheitsanforderungen gerecht werden.
Fragen? Kontaktieren Sie uns unter [email protected].