Vertrauen & Sicherheit

Sicherheit ist das Produkt

Wie Graneth Ihren Code, Ihre Secrets und Ihre Scan-Daten schützt.

Shadow-Modus als Standard

Graneth beobachtet, bewertet und berichtet — es blockiert nie einen Merge und schreibt nie auf Ihren Default-Branch, bis Sie eine Policy zur Durchsetzung befördern. Vertrauen wird verdient, bevor Kontrolle gewährt wird.

Sicherheitsmaßnahmen

Rate-Limiting

Bucket-Limits pro IP und Token auf jedem Endpoint, um Missbrauch abzufedern und Upstream-APIs zu schützen.

HMAC-SHA256-Webhooks

Eingehende GitHub-Webhooks werden vor jedem Handler mit zeitkonstanten HMAC-SHA256-Signaturen verifiziert.

Strikte CORS-Allowlist

Cross-Origin-Anfragen sind auf eine explizite Origin-Allowlist beschränkt — keine Wildcard-Reflexion.

Zod-Input-Validierung

Jeder Input wird gegen ein Zod-Schema geparst. Fehlgeformte Payloads werden an der Kante abgewiesen.

RBAC auf MCP-Tools

Jeder MCP-Tool-Aufruf wird gegen rollenbasierte Zugriffskontrolle autorisiert, bevor er Code lesen oder Funde posten kann.

Prompt-Injection-Schutz

Nicht vertrauenswürdiger Code und PR-Text werden gekapselt und gefiltert, damit injizierte Anweisungen den Analyzer nicht steuern können.

Verschlüsselung at rest

Secrets und Tokens sind at rest verschlüsselt; API-Schlüssel werden gehasht gespeichert und nur einmal angezeigt.

PostgreSQL Row-Level-Security

Mandanten-Isolation wird in der Datenbank mit Row-Level-Security durchgesetzt — nicht nur im App-Code.

SOC 2 — geplant GDPR-orientiert Least-Privilege-OAuth-Scopes Kein Training auf Ihrem Code