Agora ist ein lokal-first Multi-Agent-Simulator (Python/Flask + Vue 3 + Neo4j + Ollama, OASIS via Subprozess). Diese Datei beschreibt, wie Sicherheitslücken vertraulich gemeldet werden und welcher Stand für Updates gepflegt wird.
Solo-Maintainer-Projekt im aktiven Sprint. Sicherheits-Fixes nur für die
jeweils aktuelle Minor-Version auf main.
| Version | Unterstützt |
|---|---|
| 0.9.x | ✅ |
| < 0.9 | ❌ |
Bevorzugt: Private Mail an
schneider@alexle135.de
mit Betreff [Agora Security] <kurzbeschreibung>.
Optional: GitHub Private Vulnerability Reporting via Security Advisories.
Bitte enthalten:
- Betroffene Komponente / Pfad / Version
- Reproduktions-Schritte oder PoC
- Beobachteter und erwarteter Effekt
- Optional: Vorschlag für Mitigation
Bitte NICHT:
- Public-Issue für noch nicht gefixte Schwachstellen anlegen
- Findings auf Twitter/Mastodon/o.ä. veröffentlichen, bevor ein Fix oder eine Veröffentlichungs-Absprache existiert
| Schritt | Ziel-Frist |
|---|---|
| Eingangsbestätigung | 72 Stunden |
| Erste Einschätzung (Severity, Scope) | 7 Tage |
| Fix oder dokumentiertes Tracking | 30 Tage (Best Effort) |
| Public Disclosure | nach Absprache |
Da es sich um ein privates Open-Source-Projekt ohne SLA-Vertrag handelt, sind Fristen Best-Effort. Kritische Funde (RCE, Auth-Bypass, Datenexfiltration) priorisiere ich vor allen Feature-Slices.
Einige CVEs in transitiven Abhängigkeiten sind dokumentiert und gepinnt-getrackt, weil ein Upstream-Fix noch aussteht. Tracking-Issues:
- #121–#126 Security-Watchlist
- Dokumentation:
docs/— Sub-Slice 31 (Layer 10)
Sobald Upstream patcht, zieht Dependabot automatisch (siehe
.github/dependabot.yml).
Agora steht unter AGPL-3.0. Wer einen Fork als Service betreibt, muss Sourcen offen halten — das gilt auch für sicherheitsrelevante Patches. Embargo-Zeiträume zwischen Fix-Merge und Public Disclosure werden im Einzelfall mit Reporter abgestimmt.