Security Tooling & Dependency Management

Dieses Dokument beschreibt die Sicherheits-Tooling-Baseline der AI Compliance Suite.

Hinweis: Technische Guidance, keine Rechtsberatung.

1) Dependency Updates

Dependabot ist aktiviert:

• Konfiguration: .github/dependabot.yml
• Aktualisierungsintervall: wöchentlich
• Ziel: zeitnahe Updates für direkte und indirekte Python-Abhängigkeiten

2) Vulnerability Scanning

Für CRA/AI-Act existieren CI-Workflows, die Dependencies scannen und Artefakte erzeugen:

• OSV-Scanner + pip-audit:
• CRA: .github/workflows/cra-osv-scan.yml
• AI Act: .github/workflows/ai-act-osv-scan.yml

Die Scans schlagen fehl, wenn bekannte Schwachstellen gefunden werden ("fail the build").

3) SBOM

SBOMs werden in CI erzeugt (CycloneDX/SPDX, je Workflow):

• CRA: .github/workflows/cra-sbom.yml
• AI Act: .github/workflows/ai-act-sbom.yml

4) Wiederverwendete Sicherheits-Utilities im Code

Die Suite nutzt zentrale, wiederverwendbare Sicherheitsmodule (statt ad-hoc Implementierungen):

• security_utils.py: Pfad-Containment, Office-Archiv-Validierung, Sanitisierung untrusted Text
• shared/validation.py: Input-Validierung (Repo/Branch/URL/Env)
• shared/sql.py: sichere Nutzung dynamischer SQL-Identifier
• shared/encoding.py: kontextabhängiges Output-Encoding (CSV/Markdown)
• shared/errors.py: globales Exception-Handling für Tkinter

5) Lokale Daten: Dateirechte (Protect Data Everywhere)

Die Suite speichert lokale SQLite-Datenbanken und Logs. Standardziel ist:

• Verzeichnisse: nur Owner-Zugriff (0700)
• Dateien: nur Owner lesen/schreiben (0600)

Hinweis: Auf Windows gelten andere Semantiken; dort ist dies „best effort“.