Kolada MCP Server tar säkerhet på allvar. Detta dokument beskriver våra säkerhetsrutiner och hur man rapporterar sårbarheter.
Kolada MCP Server takes security seriously. This document describes our security practices and how to report vulnerabilities.
Vi använder automatisk säkerhetsskanning för att upptäcka säkerhetsbrister:
- Kör automatiskt vid varje push och pull request till main
- Skannar efter exponerade secrets, API-nycklar, lösenord
- Kontrollerar sårbara dependencies med npm audit
- Veckovis schemalagd skanning
- Kommenterar på PR:s med åtgärdsförslag
- Resultat: Workflow artifacts
Vi använder TruffleHog för att upptäcka exponerade hemligheter:
- Skannar git-historik för verifierade secrets
- Kör vid push och pull requests
- Integrerad i Security Scan workflow
- Automatiska säkerhetsuppdateringar för dependencies
- Veckovisa kontroller av npm, GitHub Actions och Docker
- Automatiska pull requests för säkerhetspatchar
| Version | Supported |
|---|---|
| 2.x.x | ✅ |
| < 2.0 | ❌ |
Om du upptäcker en säkerhetsbrist i Kolada MCP Server:
- PUBLICERA INTE sårbarheten i en publik issue
- Skicka ett e-postmeddelande till säkerhetsansvarig
- Inkludera:
- Beskrivning av sårbarheten
- Steg för att reproducera
- Potentiell påverkan
- Förslag på åtgärd (om möjligt)
Vi strävar efter att:
- Bekräfta mottagande inom 48 timmar
- Ge en första bedömning inom 7 dagar
- Hålla dig informerad om framsteg
- Kreditera dig i release notes (om du önskar)
If you discover a security vulnerability in Kolada MCP Server:
- DO NOT disclose the vulnerability publicly in an issue
- Send an email to the security team
- Include:
- Description of the vulnerability
- Steps to reproduce
- Potential impact
- Suggested fix (if possible)
We aim to:
- Acknowledge receipt within 48 hours
- Provide initial assessment within 7 days
- Keep you informed of progress
- Credit you in release notes (if desired)
- Inga hårdkodade hemligheter i källkoden
- Alla känsliga värden hanteras via miljövariabler
.env.exampletillhandahålls för referens
- Rate limiting implementerat med Bottleneck
- Request timeout konfigurerad (30s default)
- Retry logic med exponential backoff
- Ingen caching av känslig data
- Regular automated security updates via Dependabot
- npm audit runs as part of CI/CD
- Minimal dependency footprint
# API Configuration
KOLADA_API_BASE_URL=https://api.kolada.se/v3
KOLADA_RATE_LIMIT=5
KOLADA_TIMEOUT=30000
# Logging
LOG_LEVEL=info # använd 'debug' endast i utveckling- Använd alltid HTTPS
- Sätt lämpliga CORS-headers
- Implementera autentisering för känsliga endpoints
- Överväg att använda API-gateway
För säkerhetsfrågor, kontakta:
- Repository: https://github.com/isakskogstad/kolada-mcp
- Issues: https://github.com/isakskogstad/kolada-mcp/issues (för icke-kritiska frågor)
Kolada MCP Server är utvecklad av Isak Skogstad och är inte officiellt associerad med Kolada eller Sveriges Kommuner och Regioner (SKR). Projektet använder Koladas öppna API enligt deras användarvillkor.
Kolada MCP Server is developed by Isak Skogstad and is not officially associated with Kolada or Swedish Association of Local Authorities and Regions (SKR). This project uses Kolada's open API according to their terms of service.
Vi uppskattar ansvarsfull säkerhetsrapportering och kommer att kreditera forskare som rapporterar giltiga sårbarheter (om de önskar).
We appreciate responsible security disclosure and will credit researchers who report valid vulnerabilities (if they wish).