Upgrade toktrack and enhance security and dependencies

.github/dependabot.yml

@@ -3,6 +3,10 @@ version: 2
 updates:
   - package-ecosystem: 'npm'
     directory: '/'
+    # Keep eslint/@eslint/js on 9.x for now.
+    # Verified on 2026-04-20: an isolated npm install of eslint@10.2.1 and @eslint/js@10.0.1
+    # still fails dependency resolution, and eslint-plugin-react@7.37.5 currently advertises
+    # eslint support only through ^9.7.
     schedule:
       interval: 'weekly'
       day: 'monday'
@@ -12,6 +16,17 @@ updates:
     open-pull-requests-limit: 5
     rebase-strategy: 'auto'
     versioning-strategy: 'increase-if-necessary'
+    ignore:
+      - dependency-name: 'eslint'
+        update-types:
+          - 'version-update:semver-major'
+        versions:
+          - '>=10'
+      - dependency-name: '@eslint/js'
+        update-types:
+          - 'version-update:semver-major'
+        versions:
+          - '>=10'
     labels:
       - 'dependencies'
     commit-message:

.github/workflows/ci.yml

@@ -23,7 +23,7 @@ jobs:
         uses: actions/checkout@de0fac2e4500dabe0009e67214ff5f5447ce83dd # v6.0.2
 
       - name: Set up Node.js
-        uses: actions/setup-node@53b83947a5a98c8d113130e565377fae1a50d02f # v6.3.0
+        uses: actions/setup-node@48b55a011bda9f5d6aeb4c2d9c7362e8dae4041e # v6.4.0
         with:
           node-version: 24
           cache: npm
@@ -78,7 +78,7 @@ jobs:
         uses: actions/checkout@de0fac2e4500dabe0009e67214ff5f5447ce83dd # v6.0.2
 
       - name: Set up Node.js
-        uses: actions/setup-node@53b83947a5a98c8d113130e565377fae1a50d02f # v6.3.0
+        uses: actions/setup-node@48b55a011bda9f5d6aeb4c2d9c7362e8dae4041e # v6.4.0
         with:
           node-version: 24
           cache: npm

.github/workflows/release.yml

@@ -99,7 +99,7 @@ jobs:
           fi
 
       - name: Set up Node.js
-        uses: actions/setup-node@53b83947a5a98c8d113130e565377fae1a50d02f # v6.3.0
+        uses: actions/setup-node@48b55a011bda9f5d6aeb4c2d9c7362e8dae4041e # v6.4.0
         with:
           node-version: 24
           cache: npm

.gitignore

@@ -19,6 +19,7 @@ test-json/
 .idea
 coverage/
 requirements/
+docs/security/
 /activity-*.png
 /cache-hit-rate-*.png
 /request-*.png

CHANGELOG.md

@@ -1,5 +1,24 @@
 # Changelog
 
+## [6.2.5] - 2026-04-20
+
+### Added
+
+- **Gezielte Security-Regressionstests für lokale Serverhärtung** — neue Unit-, Integrations- und E2E-Tests decken jetzt Null-Byte-Requests, Host-/Origin-Vertrauen, Auto-Import-Serialisierung und Custom-API-Prefix-Pfade gezielt gegen Regressionen ab
+
+### Improved
+
+- **Toktrack-Stand und Nutzerkommunikation im Auto-Import** — `toktrack` ist jetzt repo-weit exakt auf `2.5.0` angehoben, inklusive aktualisierter Runner-/UI-/Test-Erwartungen und robusterer Fehler- sowie Abbruchkommunikation bei Version-Check, Runner-Fehlern, ungültigem JSON und fehlerhaften Nutzdaten
+- **Robustere Paket-Runner-Warmups für `bunx` und `npx`** — paketbasierte `toktrack`-Aufrufe verwenden jetzt großzügigere, runner-spezifische Probe-/Versions-Timeouts, liefern klarere First-Run- und Timeout-Hinweise für Paket-Downloads und bleiben im Auto-Import über Unit-, Integration- und E2E-Tests vollständig abgesichert
+- **Direktabhängigkeiten und Workflow-Actions auf aktuelle kompatible Stände gebracht** — kompatible npm-Dependencies sowie GitHub Actions wurden aktualisiert, darunter `actions/setup-node` auf `6.4.0`, bei unverändert stabilem lokalen Verify-, Coverage- und E2E-Gate
+- **Background-Registry und Runtime-Metadaten für lokale Serverinstanzen** — Background-Einträge speichern jetzt den zugehörigen `apiPrefix`, und `/api/runtime` gibt nur noch die für App und CLI tatsächlich benötigten Felder zurück
+
+### Fixed
+
+- **Hängende oder unklare Toktrack-Auto-Import-Läufe** — der Auto-Import hat jetzt explizite Timeouts, einen sauberen Cancel-/Abort-Pfad bis zum Child-Process und differenzierte, lokalisierbare Fehlermeldungen statt generischer oder irreführender Runner-Fehler
+- **Unscharfe Vertrauensgrenzen bei lokalen Mutationen** — mutierende Requests ohne vertrauenswürdigen `Origin` sowie untrusted `Host`-Header werden jetzt konsequent mit `403` blockiert, ohne das Local-First-Modell um einen Login-/Token-Layer zu erweitern
+- **Mehrere robuste Server-Härtungslücken aus dem Pentest-Review** — Null-Byte-Pfade und rohe fehlerhafte Requests führen nicht mehr zu instabilem Static-Serving, und parallele `POST /api/auto-import/stream`-Starts werden frühzeitig abgewehrt, bevor ein zweiter `toktrack`-Runner gestartet werden kann
+
 ## [6.2.4] - 2026-04-16
 
 ### Added

README.md

@@ -98,8 +98,8 @@ Then either:
 The auto-import path prefers:
 
 1. local `toktrack`
-2. `bunx toktrack@2.4.0`
-3. `npx --yes toktrack@2.4.0`
+2. `bunx toktrack@2.5.0`
+3. `npx --yes toktrack@2.5.0`
 
 ## Common Commands