Security: Default DB-Credentials aus Code entfernen #41

New issue

Open

opened 2026-03-30 19:54:50 +00:00 by David · 0 comments

David commented 2026-03-30 19:54:50 +00:00

Collaborator

Copy link

Beschreibung

In config.py:42 steht database_url: str = "postgresql://bruno:bruno@localhost:5432/bruno" als Default. Hardcoded Credentials im Source Code sind ein Sicherheitsrisiko.

Hintergrund

Auch wenn der Wert über .env überschrieben wird: Der Default enthält funktionierende Credentials. Bei versehentlichem Deployment ohne .env verbindet sich die App mit diesen Credentials. Der Source Code ist im Git-Repo sichtbar.

Akzeptanzkriterien

• Kein funktionierender Default für DATABASE_URL im Code
• Startup schlägt fehl wenn DATABASE_URL nicht in der Umgebung gesetzt ist
• Klare Fehlermeldung mit Beispiel-URL
• Gleiches Prinzip für ODOO_PASSWORD, GITLAB_TOKEN und andere Secrets: kein Default
• .env.example enthält Platzhalter-Werte die nicht funktionieren

Technische Hinweise

• Fix in: backend/config.py — Default auf leeren String oder Exception
• Alle Secret-Felder validieren: database_url, jwt_secret_key, odoo_password, gitlab_token
• Migration nötig: nein

Aufwand: S

## Beschreibung In `config.py:42` steht `database_url: str = "postgresql://bruno:bruno@localhost:5432/bruno"` als Default. Hardcoded Credentials im Source Code sind ein Sicherheitsrisiko. ## Hintergrund Auch wenn der Wert über `.env` überschrieben wird: Der Default enthält funktionierende Credentials. Bei versehentlichem Deployment ohne `.env` verbindet sich die App mit diesen Credentials. Der Source Code ist im Git-Repo sichtbar. ## Akzeptanzkriterien - [ ] Kein funktionierender Default für `DATABASE_URL` im Code - [ ] Startup schlägt fehl wenn `DATABASE_URL` nicht in der Umgebung gesetzt ist - [ ] Klare Fehlermeldung mit Beispiel-URL - [ ] Gleiches Prinzip für `ODOO_PASSWORD`, `GITLAB_TOKEN` und andere Secrets: kein Default - [ ] `.env.example` enthält Platzhalter-Werte die nicht funktionieren ## Technische Hinweise - Fix in: `backend/config.py` — Default auf leeren String oder Exception - Alle Secret-Felder validieren: `database_url`, `jwt_secret_key`, `odoo_password`, `gitlab_token` - Migration nötig: nein ## Aufwand: S

David added the

kritisch

backend

bug

S

labels 2026-03-30 19:54:50 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

detached

feature/ui-redesign

No results found.

Labels

Clear labels   

api

API Endpoints betroffen

  

backend

Backend/Python betroffen

  

bug

Fehler/Bug

  

database

Datenbank/Migration betroffen

  

doku

Dokumentation nötig

  

feature

Neues Feature

  

frontend

Frontend/React betroffen

  

improvement

Verbesserung bestehender Funktion

  

in work

Issue wird gerade bearbeitet

  

kritisch

Höchste Priorität

  

L

Large: 1+ Tag, > 5 Dateien

  

M

Medium: halber Tag, 3-5 Dateien

  

niedrig

Niedrige Priorität

  

normal

Normale Priorität

  

review

In Review

  

S

Small: < 1h, 1-2 Dateien

  

service

Service/Pipeline betroffen

  

wichtig

Hohe Priorität

  

XL

Extra Large: mehrere Tage

No labels

api

backend

bug

database

doku

feature

frontend

improvement

in work

kritisch

L

M

niedrig

normal

review

S

service

wichtig

XL

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

Basti/Bruno#41

No description provided.