SECURITY

Documentation Map

• Overview

• Quick Start

• Installation

• Configuration

• Operations

• Troubleshooting

• Release Notes

• Compatibility

• Architecture

• Security

• Integrations

• Capabilities

• Roadmap

• OSS Inventory

• Channel: latest

• Source repo: JaddaHelpifyr/jhf-keystore

SECURITY

Auth-Modell

• echte Secret-Aufloesung erfordert lokale bw-Authentifizierung
• das Tool selbst fuehrt keine eigene Remote-Auth ein
• OAuth ist nicht sinnvoll, weil das Tool kein Netzservice ist

Zugriffskontrolle

• Secret-Aufloesung bleibt lokal
• optionales bw serve darf nur auf Loopback laufen
• Write-Pfade sind in diesem Repository nicht implementiert
• Fabric darf nur deklarative Metadaten lesen
• Fabric darf keine Secret-Aufloesung oder Write-Operation remote steuern

Sensible Datenarten

• BW_SESSION
• Vaultwarden-/Bitwarden-Master-Passwoerter
• aufgeloeste Secrets
• SMTP-Credentials
• servicebezogene API-Keys

Secrets-Modell

• keine Secrets im Repository
• keine Secrets in CI
• keine offenen Runtime-Endpunkte
• deklarative Metadaten duerfen nur nicht-sensitive Zustandsinformationen enthalten

Risiken

• Exponierung eines offenen bw serve
• Vermischung von Shared- und Agent-Secrets ohne Least Privilege
• Missbrauch des Tools als vermeintlicher Remote-Secret-Service
• Fehlannahme, dass Fabric Secret-Werte lesen duerfte

Besonders zu schuetzende Schnittstellen

• jeder echte Resolver-Aufruf
• jede Nutzung von bw serve
• jede kuenftige Write-Governance-Integration
• jeder kuenftige Operator-Pfad mit echten Vaultwarden-Credentials

Access-Model Security Boundaries

• principal types and access domains are defined in the checked-in access-model contracts, not in local runtime heuristics
• deny precedence, revocation, breakglass, and environment separation are contract-backed rules
• agent authentication against Vaultwarden remains an open implementation decision outside this repository's secret-read boundary
• Vaultwarden is an admitted SSO v4 consumer surface under upstream Heddle/Fabric contract truth; local identity shadow-truth remains forbidden

Eingaenge, die niemals offen sein duerfen

• offener HTTP-Read-Endpunkt
• bw serve ausserhalb von Loopback
• direkte Remote-Steuerung fuer Secret-Schreibvorgaenge

Aktionen, die niemals unkontrolliert automatisiert werden duerfen

• Secret-Write
• Passwort-Reset
• Policy-Aenderungen in Vaultwarden
• Remote-Exponierung des lokalen Read-Pfads
• Remote-Trigger fuer echte Secret-Aufloesung