Wie Graneth Ihren Code, Ihre Secrets und Ihre Scan-Daten schützt.
Graneth beobachtet, bewertet und berichtet — es blockiert nie einen Merge und schreibt nie auf Ihren Default-Branch, bis Sie eine Policy zur Durchsetzung befördern. Vertrauen wird verdient, bevor Kontrolle gewährt wird.
Bucket-Limits pro IP und Token auf jedem Endpoint, um Missbrauch abzufedern und Upstream-APIs zu schützen.
Eingehende GitHub-Webhooks werden vor jedem Handler mit zeitkonstanten HMAC-SHA256-Signaturen verifiziert.
Cross-Origin-Anfragen sind auf eine explizite Origin-Allowlist beschränkt — keine Wildcard-Reflexion.
Jeder Input wird gegen ein Zod-Schema geparst. Fehlgeformte Payloads werden an der Kante abgewiesen.
Jeder MCP-Tool-Aufruf wird gegen rollenbasierte Zugriffskontrolle autorisiert, bevor er Code lesen oder Funde posten kann.
Nicht vertrauenswürdiger Code und PR-Text werden gekapselt und gefiltert, damit injizierte Anweisungen den Analyzer nicht steuern können.
Secrets und Tokens sind at rest verschlüsselt; API-Schlüssel werden gehasht gespeichert und nur einmal angezeigt.
Mandanten-Isolation wird in der Datenbank mit Row-Level-Security durchgesetzt — nicht nur im App-Code.