CC-SEC-01 Sicherheits-Baseline erfassen

[jurei733]

Parent Epic: #142

Aufwand: 1 PT
Priorität: P0
Sprint: Sprint 1 (20.04–01.05)

Akzeptanzkriterien

• npm audit --omit=dev Report ist im Ticket dokumentiert.
• High/Moderate Findings sind nach Paket gruppiert.
• Fix-Strategie pro Paket ist festgelegt (update/override/defer).

[jurei733]

Sicherheits-Baseline 2026-06-17

npm audit --omit=dev wurde lokal ausgefuehrt.

• Toolchain: npm 11.7.0, Node v22.16.0
• Ergebnis: 42 Findings gesamt
• Schweregrade: 1 critical, 21 high, 19 moderate, 1 low
• Hinweis: Das Issue nennt High/Moderate; das Critical-Finding shell-quote ist mit aufgenommen.

Paketgruppen und Fix-Strategie

Paket / Cluster	Schwere	Findings	Strategie
shell-quote	critical	GHSA-w7jw-789q-3m8p	update: non-breaking transitive Fix per npm audit fix / Lockfile-Refresh aufnehmen.
Angular Runtime: @angular/animations, @angular/common, @angular/compiler, @angular/core, @angular/elements, @angular/forms, @angular/platform-browser, @angular/platform-browser-dynamic, @angular/router	high	Angular XSS-, DoS-, Hydration-/Cache- und Transfer-Cache-Advisories, u. a. GHSA-g93w-mfhg-p222, GHSA-p3vc-36g9-x9gr, GHSA-q6f4-qqrg-jv6x, GHSA-48r7-hpm6-gfxm, GHSA-39pv-4j6c-2g6v, GHSA-rgjc-h3x7-9mwg, GHSA-692r-grfm-v8x7, GHSA-f3m7-gqxr-g87x	update: alle Angular-Runtime-Pakete gemeinsam auf 20.3.25 anheben.
@angular/compiler-cli	moderate	erbt Angular-Compiler-/Babel-Findings	update: gemeinsam mit Angular Runtime auf 20.3.25 anheben.
Angular Build Tooling: @angular-devkit/architect, @angular-devkit/build-angular, @angular-devkit/build-webpack, @angular-devkit/core, @angular-devkit/schematics, @angular/build, @schematics/angular	high / moderate	picomatch, esbuild, postcss, Babel, Vite, webpack-dev-server Chains	update: Angular-Build-Tooling gemeinsam auf 20.3.28 anheben; npm-Force-Downgrade auf @angular-devkit/build-angular@0.802.2 nicht verwenden.
@babel/plugin-transform-modules-systemjs	high	GHSA-fv7c-fp4j-7gwp	update: non-breaking transitive Fix per Lockfile-Refresh aufnehmen.
brace-expansion	moderate	GHSA-f886-m6hf-6m8v	update: non-breaking transitive Fix aufnehmen.
body-parser, express, qs	moderate	GHSA-q8mj-m7cp-5q26	update: non-breaking transitive Fix aufnehmen.
engine.io, socket.io-adapter, socket.io-parser, ws	high / moderate	GHSA-677m-j7p3-52f9, GHSA-58qx-3vcg-4xpx, GHSA-96hv-2xvq-fx4p	update: non-breaking transitive Fixes aufnehmen.
esbuild	high	GHSA-gv7w-rqvm-qjhr	defer: Angular 20.3.28 und ng-packagr 20.3.2 koennen weiterhin betroffene esbuild-Versionen ziehen; Overrides erst nach Build-Kompatibilitaetspruefung, alternativ koordinierter Angular-21-Schritt.
fast-uri	high	GHSA-q3j6-qgpj-74h6, GHSA-v39h-62p7-jpjc	update: non-breaking transitive Fix aufnehmen.
flatted	high	GHSA-25h7-pfq9-p65f, GHSA-rf6f-7fwh-wjgh	update: non-breaking transitive Fix aufnehmen.
js-yaml	moderate	GHSA-h67p-54hq-rp68	update: non-breaking transitive Fix aufnehmen.
launch-editor	moderate	GHSA-v6wh-96g9-6wx3	update: mit Build-Tooling aktualisieren.
markdown-it	moderate	GHSA-6v5v-wf23-fmfq	update: non-breaking transitive Fix aufnehmen.
ng-packagr	high	erbt esbuild Finding	defer: am 2026-06-17 kein neueres 20.x-Release verfuegbar; npm-Downgrade-Vorschlag auf 15.1.1 ist nicht geeignet. Upstream verfolgen oder Angular-21-Upgrade planen.
picomatch	high	GHSA-3v7f-55p6-f55p, GHSA-c2c7-rcm5-vvqj	update wo non-breaking; Angular-devkit-eigene Reste mit Build-Tooling-Update behandeln.
postcss	moderate	GHSA-qx2v-qp2m-jg93	update mit Angular Build Tooling; npm-Force-Downgrade nicht verwenden.
sockjs, uuid, webpack-dev-server	moderate	GHSA-w5hq-g745-h8pq, GHSA-79cf-xcqc-c78w	defer falls nach 20.3.28-Tooling-Update noch vorhanden; Upstream-Devkit verfolgen.
tmp	high	GHSA-ph9p-34f9-6g65	update: non-breaking transitive Fix aufnehmen.
vite	high	GHSA-4w7w-66w2-5vf9, GHSA-v2wj-q39q-566r, GHSA-p9ff-h696-f583, GHSA-v6wh-96g9-6wx3, GHSA-fx2h-pf6j-xcff plus esbuild	defer falls nach 20.3.28-Tooling-Update noch vorhanden; Overrides erst nach Angular-Builder-Kompatibilitaetspruefung.

Naechste Schritte

1. Safe Patch-/Lockfile-Refresh: Angular Runtime 20.3.25, Angular Build Tooling 20.3.28 und non-breaking transitive Updates aus npm audit fix.
2. Danach npm run audit:prod erneut ausfuehren und Restfindings gegen diese Baseline abgleichen.
3. Fuer verbleibende esbuild, vite, ng-packagr, sockjs, uuid, webpack-dev-server Findings zwischen gezielten npm Overrides und koordiniertem Angular-21-Upgrade entscheiden.

Die gleiche Baseline ist im Repo als docs/security-baseline-2026-06-17.md erfasst; npm run audit:prod wurde als reproduzierbarer Script ergaenzt.

[jurei733]

Follow-up lokal umgesetzt:

• Angular Runtime auf 20.3.25 aktualisiert.
• Angular Build Tooling auf 20.3.28 aktualisiert.
• Non-forced Audit-/Lockfile-Fixes angewendet.
• Patch-Overrides fuer @babel/core 7.29.7, esbuild 0.28.1 und vite 7.3.5 gesetzt.
• npm run audit:prod: reduziert von 42 auf 4 moderate Findings.
• Verbleibend: uuid ueber sockjs / webpack-dev-server / Angular Build Tooling; kein non-breaking Fix laut npm audit.
• npm run build_cc: erfolgreich.
• npm run test:cc: erfolgreich, 261 Specs.
• npm run lint: laeuft, scheitert aber an bestehenden Rich-Text-Editor-Style-Regeln (@typescript-eslint/dot-notation) und einer bestehenden max-len-Warnung.

[jurei733]

Update zum Follow-up:

• ngx-build-plus wurde aus den root dependencies nach devDependencies verschoben.
• ngx-build-plus wurde aus den Peer-Dependencies des Library-Packages entfernt, da Library-Konsumenten den Repo-Build-Builder nicht benoetigen.
• npm run audit:prod meldet jetzt: found 0 vulnerabilities.
• npm run build_cc: erfolgreich.
• npm run build:elements: erfolgreich.
• npm run test:cc: zuvor erfolgreich mit 261 Specs.

Damit ist die verbleibende uuid/sockjs/webpack-dev-server-Kette aus dem Production-Audit entfernt, ohne einen riskanten uuid-Major-Override zu erzwingen.