Sicherheitsrichtlinie

1. Einleitung

BitBridge Automation nimmt die Sicherheit von StringSense und den Schutz unserer Nutzer ernst. Diese Sicherheitsrichtlinie beschreibt unsere Maßnahmen zur Produktsicherheit, zum Umgang mit Schwachstellen und zur Einhaltung der EU-Verordnung über Cyberresilienz (Cyber Resilience Act, CRA).

2. Verantwortlicher

Stefan Grosse
BitBridge Automation
Johann-Baptist-Lethner-Str. 30
85465 Langenpreising, Deutschland
E-Mail: security@bitbridge-automation.com

3. Schwachstellen melden (Coordinated Vulnerability Disclosure)

Wenn Sie eine Sicherheitslücke in StringSense entdecken, bitten wir Sie, diese verantwortungsvoll an uns zu melden. Bitte senden Sie Ihren Bericht an:

Was wir von Ihnen erwarten:

  • Beschreiben Sie die Schwachstelle so detailliert wie möglich
  • Geben Sie uns eine angemessene Frist zur Behebung (mindestens 90 Tage), bevor Sie die Schwachstelle öffentlich machen
  • Nutzen Sie die Schwachstelle nicht aus, um Daten anderer Nutzer einzusehen oder zu verändern

Was Sie von uns erwarten können:

  • Bestätigung des Eingangs Ihrer Meldung innerhalb von 5 Werktagen
  • Regelmäßige Updates zum Bearbeitungsstatus
  • Behebung kritischer Schwachstellen innerhalb von 30 Tagen
  • Keine rechtlichen Schritte gegen gutgläubige Sicherheitsforscher

4. Sicherheitsupdates

Wir stellen Sicherheitsupdates für StringSense über den Apple App Store und Google Play Store bereit. Updates werden nach folgendem Zeitplan veröffentlicht:

  • Kritische Schwachstellen: Patch innerhalb von 30 Tagen nach Bekanntwerden
  • Hohe Schwachstellen: Patch innerhalb von 60 Tagen
  • Mittlere/Niedrige Schwachstellen: Im nächsten regulären Release-Zyklus

Wir empfehlen allen Nutzern, automatische App-Updates zu aktivieren, um Sicherheitspatches zeitnah zu erhalten.

5. Software-Stückliste (SBOM)

Gemäß den Anforderungen des Cyber Resilience Act pflegen wir eine aktuelle Software-Stückliste (Software Bill of Materials, SBOM) für StringSense. Diese dokumentiert alle verwendeten Drittanbieter-Komponenten und deren Versionen.

Die SBOM wird kontinuierlich auf bekannte Schwachstellen überwacht. Bei Fragen zur SBOM wenden Sie sich an: security@bitbridge-automation.com

6. Statische Code-Analyse & CI/CD

Jeder Commit und Pull Request durchläuft automatisierte Sicherheitsprüfungen in unserer CI/CD-Pipeline (GitHub Actions):

  • ESLint mit TypeScript-Regeln — Statische Analyse des gesamten Quellcodes auf Fehler, unsichere Muster und Code-Qualität
  • CycloneDX (cdxgen) — Automatische SBOM-Generierung für npm, Android (Gradle) und iOS (CocoaPods) bei jedem Push auf main
  • Grype (Anchore) — Schwachstellenscanner, der alle SBOMs gegen bekannte CVE-Datenbanken prüft
  • Dependency-Track — Kontinuierliches Monitoring aller Abhängigkeiten mit automatischem SBOM-Upload
  • lint-staged — Pre-Commit-Hook, der geänderte Dateien vor dem Commit automatisch analysiert

Scan-Ergebnisse werden als Artefakte für 90 Tage archiviert. Kritische Schwachstellen lösen eine sofortige Bewertung aus.

7. Sicherheitsmaßnahmen

Datenverschlüsselung

  • Alle Datenübertragungen erfolgen über TLS 1.2+
  • Passwörter werden mit bcrypt gehasht und gesalzen
  • Sensible Daten werden verschlüsselt in der Datenbank gespeichert

Authentifizierung

  • Magic-Link-Authentifizierung über Supabase Auth
  • Row-Level Security (RLS) auf Datenbankebene
  • Rate-Limiting für Login-Versuche

Infrastruktur

  • Hosting auf Supabase (SOC 2 Type II zertifiziert)
  • Regelmäßige Dependency-Updates und Schwachstellenscans
  • Automatisierte SBOM-Analyse mit Dependency-Track

8. Meldepflichten (CRA Art. 14)

Aktiv ausgenutzte Schwachstellen werden gemäß CRA innerhalb von 24 Stunden an die ENISA (European Union Agency for Cybersecurity) gemeldet. Betroffene Nutzer werden unverzüglich über die App und per E-Mail informiert.

9. Supportzeitraum

Sicherheitsupdates für StringSense werden für mindestens 5 Jahre ab dem jeweiligen Release-Datum bereitgestellt. Der aktuelle Supportzeitraum endet frühestens am 31.12.2030.

Stand: März 2026

Kontakt bei Sicherheitsfragen

Wenn Sie Fragen zur Sicherheit haben oder eine Schwachstelle melden möchten, schreiben Sie uns bitte an security@bitbridge-automation.com. Weitere Kontaktdaten finden Sie in unserem Impressum.

Security Policy

1. Introduction

BitBridge Automation takes the security of StringSense and the protection of our users seriously. This security policy describes our measures for product security, vulnerability management, and compliance with the EU Cyber Resilience Act (CRA).

2. Responsible Party

Stefan Grosse
BitBridge Automation
Johann-Baptist-Lethner-Str. 30
85465 Langenpreising, Germany
Email: security@bitbridge-automation.com

3. Reporting Vulnerabilities (Coordinated Vulnerability Disclosure)

If you discover a security vulnerability in StringSense, we ask that you report it responsibly. Please send your report to:

What we expect from you:

  • Describe the vulnerability in as much detail as possible
  • Allow us a reasonable timeframe to fix the issue (at least 90 days) before public disclosure
  • Do not exploit the vulnerability to access or modify other users' data

What you can expect from us:

  • Acknowledgment of your report within 5 business days
  • Regular status updates on the remediation progress
  • Resolution of critical vulnerabilities within 30 days
  • No legal action against good-faith security researchers

4. Security Updates

We provide security updates for StringSense through the Apple App Store and Google Play Store. Updates are released according to the following timeline:

  • Critical vulnerabilities: Patch within 30 days of discovery
  • High vulnerabilities: Patch within 60 days
  • Medium/Low vulnerabilities: In the next regular release cycle

We recommend all users enable automatic app updates to receive security patches promptly.

5. Software Bill of Materials (SBOM)

In accordance with the Cyber Resilience Act requirements, we maintain an up-to-date Software Bill of Materials (SBOM) for StringSense. This documents all third-party components and their versions.

The SBOM is continuously monitored for known vulnerabilities. For questions about the SBOM, contact: security@bitbridge-automation.com

6. Static Code Analysis & CI/CD

Every commit and pull request goes through automated security checks in our CI/CD pipeline (GitHub Actions):

  • ESLint with TypeScript rules — Static analysis of the entire source code for errors, unsafe patterns, and code quality
  • CycloneDX (cdxgen) — Automatic SBOM generation for npm, Android (Gradle), and iOS (CocoaPods) on every push to main
  • Grype (Anchore) — Vulnerability scanner that checks all SBOMs against known CVE databases
  • Dependency-Track — Continuous monitoring of all dependencies with automatic SBOM upload
  • lint-staged — Pre-commit hook that automatically analyzes changed files before each commit

Scan results are archived as artifacts for 90 days. Critical vulnerabilities trigger an immediate assessment.

7. Security Measures

Data Encryption

  • All data transmissions use TLS 1.2+
  • Passwords are hashed and salted using bcrypt
  • Sensitive data is encrypted at rest in the database

Authentication

  • Magic link authentication via Supabase Auth
  • Row-Level Security (RLS) at the database level
  • Rate limiting for login attempts

Infrastructure

  • Hosted on Supabase (SOC 2 Type II certified)
  • Regular dependency updates and vulnerability scanning
  • Automated SBOM analysis with Dependency-Track

8. Reporting Obligations (CRA Art. 14)

Actively exploited vulnerabilities are reported to ENISA (European Union Agency for Cybersecurity) within 24 hours in accordance with the CRA. Affected users are notified promptly via the app and by email.

9. Support Period

Security updates for StringSense will be provided for at least 5 years from the respective release date. The current support period ends no earlier than December 31, 2030.

Last updated: March 2026

Contact for Security Questions

If you have questions about security or would like to report a vulnerability, please email us at security@bitbridge-automation.com. Further contact details can be found in our imprint.