senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/veza-common/AUDIT_REPORT.md

507 lines
17 KiB
Markdown
Raw Normal View History

refonte: backend-api go first; phase 1
2025-12-13 02:34:34 +00:00
# AUDIT TECHNIQUE EXHAUSTIF — veza-common
**Date**: 2024-12-19
**Module**: `veza-common` (Bibliothèque Rust partagée)
**Auditeur**: Auto (Cursor AI)
**Version analysée**: 0.1.0
---
## PHASE A — CARTOGRAPHIE
### Module Overview
**Rôle**: Bibliothèque commune Rust fournissant types partagés, utilitaires, configurations, gestion d'erreurs, authentification, logging et métriques pour tous les services Veza (backend Go, chat-server Rust, stream-server Rust).
**Entrées/Sorties**:
- **Pas d'API HTTP/WS directe** (bibliothèque uniquement)
- **Types sérialisables** (JSON via serde) pour communication inter-services
- **Traits async** pour abstraction des providers (Auth, Cache, DB, Stream, etc.)
- **Erreurs standardisées** (`CommonError`, `VezaError`) avec codes HTTP
- **Configurations** (Database, Redis, JWT, Server, RateLimit, Logging)
**Dépendances internes**:
- Aucune (module racine du monorepo)
**Dépendances externes**:
- **DB**: PostgreSQL via `sqlx` (runtime-tokio-rustls)
- **Cache**: Redis (config uniquement, pas d'implémentation)
- **Auth**: JWT (structures, pas d'implémentation complète)
- **Crypto**: `sha2`, `hmac`, `base64`
- **Async**: `tokio` (full features)
- **Logging**: `tracing`, `tracing-subscriber`
- **Metrics**: `prometheus`
- **Serialization**: `serde`, `serde_json`
- **Validation**: `validator`, `regex`
**Exécution**:
```bash
# Build
cargo build --release
# Tests
cargo test
# Documentation
cargo doc --open
```
**Configuration**:
- Variables d'environnement (via `VezaConfig` trait)
- Fichiers JSON (optionnel)
- Defaults hardcodés (⚠️ secrets exposés)
**Points d'intégration**:
- **Types UUID** (v4) pour tous les IDs
- **JWT claims** avec `sub`, `iss`, `aud`, `exp`, `iat`, `nbf`, `jti`
- **Erreurs HTTP** standardisées (400, 401, 403, 404, 409, 429, 500)
- **Logging structuré** (tracing avec JSON/text)
- **Métriques Prometheus** (counters, gauges, histograms)
### Runbook Minimal
```bash
# 1. Vérifier dépendances
cd veza-common
cargo check
# 2. Lancer tests
cargo test --verbose
# 3. Build release
cargo build --release
# 4. Générer docs
cargo doc --no-deps --open
```
---
## PHASE B — SANTÉ TECHNIQUE
### Build Status
**❌ BUILD CASSÉ** — 9 erreurs de compilation identifiées:
1. **Module `serialization` manquant** (`src/utils/serialization.rs` n'existe pas)
2. **Module `logging` manquant** (`src/utils/logging.rs` n'existe pas, mais `src/logging.rs` existe)
3. **Dépendance `rand` manquante** (utilisée dans `auth.rs`, `random.rs`)
4. **Dépendance `totp_rs` manquante** (utilisée dans `auth.rs`)
5. **Feature `env-filter` manquante** pour `tracing-subscriber`
6. **Imports incorrects** (`VezaError`, `VezaResult` non exportés au root, utilisés dans `auth.rs`, `logging.rs`, `metrics.rs`, `traits.rs`, `config_rust.rs`)
### Linter Status
**⚠️ CLIPPY NON INSTALLÉ** — Impossible d'exécuter `cargo clippy`
### Tests Status
**✅ Tests présents** — `tests/common_tests.rs` avec 15+ tests unitaires
- Couverture: ~60% estimée (pas de métrique exacte)
- Tests manquants: modules `auth`, `metrics`, `traits`, `config_rust`
### Gestion des Erreurs
**⚠️ PROBLÈMES IDENTIFIÉS**:
- **27 occurrences de `unwrap()`/`expect()`/`panic!`** dans le code
- **Comparaison HMAC non constante** (timing attack possible)
- **Erreurs non wrappées** dans certains cas
### Conventions
**✅ Cohérent**:
- Naming: snake_case pour fonctions, PascalCase pour types
- Structure: modules organisés (`types/`, `utils/`, `config/`, `error/`)
- Séparation: traits vs implémentations
**⚠️ Incohérences**:
- Deux systèmes d'erreurs (`CommonError` vs `VezaError`)
- Deux systèmes de config (`config/` vs `config_rust.rs`)
---
## PHASE C — SÉCURITÉ
### Top 10 Risques
#### P0 — CRITIQUES
**MOD-P0-001: Secrets hardcodés dans code source**
- **Fichier**: `src/config_rust.rs:234`, `src/config_rust.rs:46`
- **Impact**: Secrets JWT et DB exposés dans le code, compromission complète de l'auth
- **Preuve**:
```rust
// src/config_rust.rs:234
secret: "your-super-secret-jwt-key".to_string(),
// src/config_rust.rs:46
url: "postgresql://veza:password@localhost:5432/veza_db".to_string(),
```
- **Cause**: Defaults hardcodés au lieu de fail-fast si env var manquante
- **Fix**: Supprimer defaults secrets, exiger variables d'environnement
- **Validation**: `cargo test` + scan secrets (git-secrets, truffleHog)
- **Régression**: Risque faible (tests doivent échouer si secrets manquants)
- **Effort**: S (1h)
**MOD-P0-002: Comparaison HMAC vulnérable aux attaques de timing**
- **Fichier**: `src/utils/crypto.rs:26-28`
- **Impact**: Attaque par canal auxiliaire permettant de forger des signatures
- **Preuve**:
```rust
pub fn verify_hmac_signature(data: &str, signature: &str, secret: &str) -> Result<bool> {
let expected = generate_hmac_signature(data, secret)?;
Ok(signature == expected) // ⚠️ Comparaison non constante
}
```
- **Cause**: Utilisation de `==` sur `String` au lieu de comparaison constante
- **Fix**: Utiliser `constant_time_eq` ou `subtle::ConstantTimeEq`
- **Validation**: Test unitaire avec timing attack simulé
- **Régression**: Risque faible (comportement fonctionnel identique)
- **Effort**: S (30min)
**MOD-P0-003: Variables globales non thread-safe**
- **Fichier**: `src/metrics.rs:215`
- **Impact**: Data race, corruption mémoire, crash en production
- **Preuve**:
```rust
pub static mut GLOBAL_METRICS: Option<Arc<MetricsCollector>> = None;
```
- **Cause**: Utilisation de `static mut` au lieu de `OnceCell`/`LazyLock`
- **Fix**: Remplacer par `std::sync::OnceLock` ou `lazy_static::lazy_static!`
- **Validation**: Test de concurrence avec `loom` ou `std::thread`
- **Régression**: Risque moyen (changement d'API)
- **Effort**: M (2h)
#### P1 — HAUTE PRIORITÉ
**MOD-P1-004: Dépendances manquantes (rand, totp_rs)**
- **Fichier**: `Cargo.toml`, `src/auth.rs:293`, `src/utils/random.rs:24`
- **Impact**: Build cassé, fonctionnalités inutilisables
- **Preuve**: Erreurs de compilation `unresolved import 'rand'`
- **Cause**: Dépendances utilisées mais non déclarées
- **Fix**: Ajouter `rand = "0.8"` et `totp_rs = "2.0"` dans `Cargo.toml`
- **Validation**: `cargo check` doit passer
- **Régression**: Aucune
- **Effort**: S (15min)
**MOD-P1-005: Modules manquants (serialization, logging dans utils)**
- **Fichier**: `src/utils/mod.rs:6,8`
- **Impact**: Build cassé
- **Preuve**: Erreur `file not found for module 'serialization'`
- **Cause**: Modules déclarés mais fichiers absents
- **Fix**: Créer fichiers ou supprimer déclarations (logging existe au root)
- **Validation**: `cargo check`
- **Régression**: Aucune
- **Effort**: S (30min)
**MOD-P1-006: Exports manquants (VezaError, VezaResult)**
- **Fichier**: `src/lib.rs`, `src/auth.rs:9`, `src/logging.rs:13`, etc.
- **Impact**: Build cassé, imports incorrects
- **Preuve**: Erreurs `unresolved imports 'crate::VezaError'`
- **Cause**: Types non exportés au root alors qu'utilisés partout
- **Fix**: Ajouter `pub use error::server::{VezaError, VezaResult};` dans `lib.rs`
- **Validation**: `cargo check`
- **Régression**: Aucune
- **Effort**: S (15min)
**MOD-P1-007: Feature flag manquant (env-filter)**
- **Fichier**: `Cargo.toml`, `src/logging.rs:10`
- **Impact**: Build cassé
- **Preuve**: Erreur `no 'EnvFilter' in the root`
- **Cause**: Feature `env-filter` non activée pour `tracing-subscriber`
- **Fix**: Ajouter `features = ["env-filter"]` à `tracing-subscriber` dans `Cargo.toml`
- **Validation**: `cargo check`
- **Régression**: Aucune
- **Effort**: S (5min)
**MOD-P1-008: Validation JWT secret trop faible**
- **Fichier**: `src/config_rust.rs:269`
- **Impact**: Secrets faibles acceptés, compromission possible
- **Preuve**:
```rust
if self.secret.len() < 32 {
warn!("JWT secret is shorter than recommended 32 characters");
}
```
- **Cause**: Warning seulement, pas d'erreur
- **Fix**: Rejeter secrets < 32 caractères en production (ou 64 recommandé)
- **Validation**: Test avec secret court doit échouer
- **Régression**: Risque faible (validation plus stricte)
- **Effort**: S (30min)
#### P2 — MOYENNE PRIORITÉ
**MOD-P2-009: Regex compilées à chaque appel**
- **Fichier**: `src/utils/validation.rs:7,20`
- **Impact**: Performance dégradée, allocations inutiles
- **Preuve**:
```rust
let email_regex = Regex::new(r"^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$")
.expect("Invalid email regex");
```
- **Cause**: Pas de `lazy_static` ou `once_cell`
- **Fix**: Utiliser `lazy_static::lazy_static!` ou `std::sync::LazyLock`
- **Validation**: Benchmark avant/après
- **Régression**: Aucune
- **Effort**: S (30min)
**MOD-P2-010: Utilisation excessive de unwrap()**
- **Fichier**: Multiple (27 occurrences)
- **Impact**: Panics en production, crashs
- **Preuve**: Voir grep results
- **Cause**: Pas de gestion d'erreur appropriée
- **Fix**: Remplacer par `?` ou gestion explicite
- **Validation**: Tests avec cas limites
- **Régression**: Risque moyen (changement de comportement)
- **Effort**: M (4h)
### Autres Risques Sécurité
- **MOD-P2-011**: Pas de validation de force de secret JWT (entropie)
- **MOD-P2-012**: Pas de rate limiting sur génération de tokens
- **MOD-P2-013**: Pas de rotation automatique de secrets
- **MOD-P3-014**: Logs peuvent contenir des secrets (pas de sanitization)
---
## PHASE D — ROBUSTESSE & OBSERVABILITÉ
### Production Readiness Gaps
#### P0 — BLOQUANTS
**MOD-P0-015: Build cassé**
- **Impact**: Impossible de déployer
- **Fix**: Résoudre toutes les erreurs de compilation (MOD-P1-004 à MOD-P1-007)
- **Effort**: M (2h)
#### P1 — CRITIQUES
**MOD-P1-016: Pas de healthcheck endpoint**
- **Impact**: Impossible de monitorer la santé du service
- **Fix**: Ajouter trait `HealthCheck` avec implémentation
- **Effort**: M (2h)
**MOD-P1-017: Logs non structurés dans certains cas**
- **Impact**: Difficulté d'analyse en production
- **Preuve**: `src/utils/validation.rs` utilise `expect()` sans contexte
- **Fix**: Utiliser `tracing::error!` avec contexte
- **Effort**: M (3h)
**MOD-P1-018: Pas de corrélation de requêtes (request_id)**
- **Impact**: Impossible de tracer une requête à travers les logs
- **Fix**: Ajouter `request_id` dans tous les logs
- **Effort**: M (4h)
**MOD-P1-019: Pas de métriques de performance**
- **Impact**: Pas de visibilité sur les performances
- **Preuve**: `MetricsCollector` existe mais pas d'utilisation automatique
- **Fix**: Intégrer métriques dans tous les traits
- **Effort**: L (8h)
#### P2 — IMPORTANTS
**MOD-P2-020: Pas de retry automatique dans traits**
- **Impact**: Échecs transitoires non gérés
- **Fix**: Ajouter retry dans implémentations
- **Effort**: M (4h)
**MOD-P2-021: Pas de timeout par défaut**
- **Impact**: Opérations peuvent bloquer indéfiniment
- **Fix**: Ajouter timeouts dans tous les traits async
- **Effort**: M (3h)
**MOD-P2-022: Pas de circuit breaker**
- **Impact**: Cascading failures possibles
- **Fix**: Ajouter circuit breaker dans traits
- **Effort**: L (6h)
---
## PHASE E — PERFORMANCE & SCALABILITÉ
### Optimisations Mesurables
1. **MOD-P2-009**: Regex compilées (gain estimé: 50-100ns par appel)
2. **MOD-P2-023**: Pool de connexions DB non configuré (gain: réduction latence 10-50ms)
3. **MOD-P2-024**: Pas de cache pour métriques (gain: réduction allocations)
4. **MOD-P2-025**: Clonage excessif de `String` (gain: réduction allocations 10-20%)
---
## PHASE F — LISTE EXHAUSTIVE DES PROBLÈMES
### P0 — CRITIQUES (Build/Sécurité/Prod)
| ID | Titre | Impact | Fichier | Effort |
|---|---|---|---|---|
| MOD-P0-001 | Secrets hardcodés | Compromission auth | `config_rust.rs:234,46` | S |
| MOD-P0-002 | HMAC timing attack | Forgery signatures | `utils/crypto.rs:26-28` | S |
| MOD-P0-003 | Variables globales unsafe | Data race, crash | `metrics.rs:215` | M |
| MOD-P0-015 | Build cassé | Déploiement impossible | Multiple | M |
### P1 — HAUTE PRIORITÉ (Bugs/Dette)
| ID | Titre | Impact | Fichier | Effort |
|---|---|---|---|---|
| MOD-P1-004 | Dépendances manquantes | Build cassé | `Cargo.toml` | S |
| MOD-P1-005 | Modules manquants | Build cassé | `utils/mod.rs` | S |
| MOD-P1-006 | Exports manquants | Build cassé | `lib.rs` | S |
| MOD-P1-007 | Feature flag manquant | Build cassé | `Cargo.toml` | S |
| MOD-P1-008 | Validation JWT faible | Secrets faibles acceptés | `config_rust.rs:269` | S |
| MOD-P1-016 | Pas de healthcheck | Monitoring impossible | N/A | M |
| MOD-P1-017 | Logs non structurés | Analyse difficile | `validation.rs` | M |
| MOD-P1-018 | Pas de request_id | Traçabilité impossible | N/A | M |
| MOD-P1-019 | Pas de métriques auto | Pas de visibilité perf | `metrics.rs` | L |
### P2 — MOYENNE PRIORITÉ (Qualité/Perf)
| ID | Titre | Impact | Fichier | Effort |
|---|---|---|---|---|
| MOD-P2-009 | Regex non compilées | Performance | `validation.rs` | S |
| MOD-P2-010 | Trop de unwrap() | Panics possibles | Multiple | M |
| MOD-P2-011 | Pas validation entropie | Secrets faibles | `config_rust.rs` | S |
| MOD-P2-012 | Pas rate limit tokens | Abus possible | `auth.rs` | M |
| MOD-P2-020 | Pas de retry auto | Échecs transitoires | Traits | M |
| MOD-P2-021 | Pas de timeout | Blocages | Traits | M |
| MOD-P2-022 | Pas circuit breaker | Cascading failures | Traits | L |
| MOD-P2-023 | Pool DB non configuré | Latence | `config/database.rs` | S |
| MOD-P2-024 | Pas cache métriques | Allocations | `metrics.rs` | S |
| MOD-P2-025 | Clonage excessif | Allocations | Multiple | M |
### P3 — BASSE PRIORITÉ (Cosmétique)
| ID | Titre | Impact | Fichier | Effort |
|---|---|---|---|---|
| MOD-P3-014 | Logs peuvent exposer secrets | Fuite info | N/A | M |
| MOD-P3-026 | Documentation manquante | DX | Multiple | M |
| MOD-P3-027 | Tests incomplets | Couverture | Multiple | M |
| MOD-P3-028 | Duplication config | Maintenance | `config/` vs `config_rust.rs` | L |
---
## PHASE G — PLAN D'EXÉCUTION
### Checklist P0 (Ordre strict)
1.**MOD-P1-004**: Ajouter `rand` et `totp_rs` dans `Cargo.toml`
2.**MOD-P1-005**: Créer `src/utils/serialization.rs` ou supprimer déclaration
3.**MOD-P1-006**: Exporter `VezaError`, `VezaResult` dans `lib.rs`
4.**MOD-P1-007**: Ajouter feature `env-filter` à `tracing-subscriber`
5.**MOD-P0-001**: Supprimer secrets hardcodés, exiger env vars
6.**MOD-P0-002**: Remplacer comparaison HMAC par constante
7.**MOD-P0-003**: Remplacer `static mut` par `OnceLock`
8.**MOD-P0-015**: Vérifier `cargo check` passe
**Validation**: `cargo test --all-features` doit passer
### Checklist P1 (Par lots)
**Lot 1 — Validation & Sécurité**:
- MOD-P1-008: Renforcer validation JWT secret
- MOD-P2-011: Ajouter validation entropie
**Lot 2 — Observabilité**:
- MOD-P1-016: Implémenter healthcheck
- MOD-P1-017: Structurer tous les logs
- MOD-P1-018: Ajouter request_id partout
**Lot 3 — Robustesse**:
- MOD-P2-020: Ajouter retry dans traits
- MOD-P2-021: Ajouter timeouts
### Quick Wins (≤ 1h chacun)
1. **MOD-P2-009**: Regex compilées (30min)
2. **MOD-P2-023**: Configurer pool DB (30min)
3. **MOD-P1-008**: Validation JWT (30min)
### Tests à Ajouter en Priorité
1. **Tests de sécurité**:
- Timing attack sur HMAC
- Validation secrets JWT
- Secrets non exposés dans logs
2. **Tests de robustesse**:
- Concurrence sur `GLOBAL_METRICS`
- Retry avec backoff
- Timeouts
3. **Tests d'intégration**:
- Config complète depuis env vars
- Métriques end-to-end
- Healthcheck
### PR Plan
**PR #1: Fix Build (P0)**
- Titre: `fix: resolve compilation errors and missing dependencies`
- Contenu: MOD-P1-004, MOD-P1-005, MOD-P1-006, MOD-P1-007
- Tests: `cargo check` + `cargo test`
**PR #2: Security Fixes (P0)**
- Titre: `security: remove hardcoded secrets and fix HMAC timing attack`
- Contenu: MOD-P0-001, MOD-P0-002, MOD-P0-003
- Tests: Tests sécurité + `cargo test`
**PR #3: Observability (P1)**
- Titre: `feat: add healthcheck, structured logging, and request correlation`
- Contenu: MOD-P1-016, MOD-P1-017, MOD-P1-018
- Tests: Tests intégration
**PR #4: Performance (P2)**
- Titre: `perf: compile regexes and optimize allocations`
- Contenu: MOD-P2-009, MOD-P2-023, MOD-P2-024
- Tests: Benchmarks
**PR #5: Robustness (P2)**
- Titre: `feat: add retry, timeouts, and error handling improvements`
- Contenu: MOD-P2-010, MOD-P2-020, MOD-P2-021
- Tests: Tests robustesse
---
## BONUS — SPÉCIFICITÉS RUST
### Problèmes Rust-Spécifiques
1. **Async runtime misuse**: Pas de problème identifié (tokio bien utilisé)
2. **Blocking in async**: Pas de problème identifié
3. **Channels/backpressure**: Pas implémenté (à ajouter si nécessaire)
4. **Unwrap/expect**: 27 occurrences (MOD-P2-010)
5. **Feature flags**: Manquant pour `tracing-subscriber` (MOD-P1-007)
6. **Unsafe code**: `static mut` dans metrics (MOD-P0-003)
---
## RÉSUMÉ EXÉCUTIF
### État Actuel
- **Build**: ❌ CASSÉ (9 erreurs)
- **Tests**: ✅ Présents mais incomplets (~60% couverture)
- **Sécurité**: ⚠️ 3 vulnérabilités P0, 5 P1
- **Robustesse**: ⚠️ Manque observabilité, retry, timeouts
- **Performance**: ⚠️ Optimisations possibles (regex, allocations)
### Priorités Immédiates
1. **Fixer le build** (2h) — PR #1
2. **Corriger vulnérabilités P0** (2h) — PR #2
3. **Ajouter observabilité** (8h) — PR #3
### Estimation Totale
- **P0**: 6h (1 sprint)
- **P1**: 20h (2-3 sprints)
- **P2**: 30h (3-4 sprints)
- **P3**: 15h (1-2 sprints)
**Total**: ~71h (7-10 jours de travail)
---
**Fin du rapport**
Reference in a new issue Copy permalink