From dad5aae71cd6d60950841cb75370edf985b93df3 Mon Sep 17 00:00:00 2001 From: senke Date: Tue, 3 Mar 2026 19:53:41 +0100 Subject: [PATCH] =?UTF-8?q?chore(release):=20v0.992=20RC2=20=E2=80=94=20Re?= =?UTF-8?q?lease=20notes,=20sign-off=20final?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- CHANGELOG.md | 11 ++++ RELEASE_NOTES_V1.md | 122 ++++++++++++++++++++++++++++++++++++++++++++ VERSION | 2 +- docs/V1_SIGNOFF.md | 10 ++-- 4 files changed, 139 insertions(+), 6 deletions(-) create mode 100644 RELEASE_NOTES_V1.md diff --git a/CHANGELOG.md b/CHANGELOG.md index 48ce69d2e..001e01a4c 100644 --- a/CHANGELOG.md +++ b/CHANGELOG.md @@ -1,5 +1,16 @@ # Changelog - Veza +## [v0.992] - 2026-03-03 (RC2) + +### Added +- RELEASE_NOTES_V1.md: release notes complètes v0.803 → v1.0.0 + +### Changed +- docs/V1_SIGNOFF.md: sign-off RC2 validé +- VERSION: 0.992 + +--- + ## [v0.991] - 2026-03-03 (RC1) ### Added diff --git a/RELEASE_NOTES_V1.md b/RELEASE_NOTES_V1.md new file mode 100644 index 000000000..461d2b345 --- /dev/null +++ b/RELEASE_NOTES_V1.md @@ -0,0 +1,122 @@ +# Release Notes — Veza v1.0.0 + +**Date de release** : 2026-03-03 +**Version précédente** : v0.803 (2026-02-25) + +--- + +## Résumé + +Veza v1.0.0 est la première release commerciale de la plateforme audio collaborative. Cette version consolide les corrections de sécurité, les améliorations de qualité, et les fonctionnalités livrées entre v0.803 et v1.0.0. + +--- + +## Nouvelles fonctionnalités depuis v0.803 + +### Sécurité (v0.901–v0.903) +- OAuth : génération JWT corrigée via JWTService/SessionService +- Webhook Hyperswitch : vérification de signature obligatoire +- TokenBlacklist intégré au middleware auth (tokens révoqués rejetés) +- ValidateExecPath sur les appels exec (waveform_service) +- Rate limiter : login/register inclus dans le global limit +- Harmonisation Go 1.24, VERSION synchronisé + +### Auth & Commerce (v0.911–v0.912) +- Tests d'intégration OAuth Google/GitHub E2E +- Tests E2E paiement Hyperswitch, webhook idempotence, refund flow + +### Qualité (v0.921–v0.923) +- Couverture tests Rust > 30% +- Réduction des skips Go, tests de contrat API +- OpenAPI spec générée et validée + +### Performance (v0.931) +- Pagination cursor-based : tracks, messages, feed social +- Profiling P50/P95/P99 documenté + +### Consolidation (v0.941–v0.943) +- Nettoyage code mort, migrations dédupliquées +- Schéma consolidé (000_full_schema.sql) +- Refactoring fichiers > 1000 lignes + +### Hardening (v0.951–v0.952) +- Load tests : 500 req/s API, 1000 WebSocket, 50 uploads +- Dashboard Grafana, alertes Prometheus +- Health check deep (DB, Redis, S3, RabbitMQ) + +### Documentation & Ops (v0.961–v0.962) +- Runbooks : déploiement, rollback, incident, rotation secrets, graceful degradation Redis +- API Reference, guide onboarding < 30 min + +### Features cleanup (v0.971) +- Feature flag WebRTC_CALLS avec badge "Beta" +- Gamification fantôme supprimée +- docs/V1_LIMITATIONS.md, docs/API_VERSIONING_POLICY.md + +### Beta & Polish (v0.981–v0.982) +- Bug bash complet (Auth, Commerce, Média, Social) +- Lighthouse ≥ 90 (Performance, Accessibility) +- PWA offline vérifiée +- RGPD/CCPA : export, suppression, opt-out documentés + +--- + +## Corrections de sécurité majeures + +| ID | Description | Version | +|----|-------------|---------| +| VEZA-SEC-001 | OAuth generateJWT invalide | v0.901 | +| VEZA-SEC-002 | PasswordService.GenerateJWT sans contrôles | v0.901 | +| VEZA-SEC-005 | Webhook Hyperswitch vérification optionnelle | v0.901 | +| VEZA-SEC-006 | TokenBlacklist déconnecté du middleware | v0.901 | +| VEZA-SEC-007 | waveform_service sans ValidateExecPath | v0.901 | +| VEZA-SEC-003 | PKCE OAuth | v0.902 | +| VEZA-SEC-004 | Tokens OAuth chiffrés au repos | v0.902 | +| VEZA-SEC-008 | ORDER BY dynamique (whitelist) | v0.903 | +| VEZA-SEC-009 | Login/register exclus du rate limiter | v0.903 | + +--- + +## Améliorations + +- **Performance** : Pagination cursor-based, P99 < 500ms cible +- **Observabilité** : Request ID propagé, métriques Prometheus, Dashboard Grafana +- **RGPD/CCPA** : Export données, suppression compte, opt-out documentés et vérifiés +- **Accessibilité** : Lighthouse Accessibility ≥ 90, PWA mode offline +- **Documentation** : Runbooks opérationnels, checklist V1_SIGNOFF + +--- + +## Breaking changes + +### Pagination +- `GET /tracks`, `GET /conversations/:id/history`, `GET /social/feed` : support de `cursor` et `limit` en plus de `page`/`limit`. La pagination OFFSET reste en fallback pour rétro-compatibilité. + +### API +- Aucun breaking change sur les signatures de réponse. Voir [docs/API_VERSIONING_POLICY.md](docs/API_VERSIONING_POLICY.md). + +--- + +## Migration guide (v0.803 → v1.0.0) + +1. **Variables d'environnement** : Vérifier `OAUTH_ENCRYPTION_KEY`, `CHAT_JWT_SECRET` séparé de `JWT_SECRET` en production, `HYPERSWITCH_WEBHOOK_SECRET` obligatoire. + +2. **Migrations** : Appliquer les migrations depuis la dernière version. Si base existante post-consolidation (v0.942), le marqueur `000_mark_consolidated.sql` peut être requis. Voir [docs/MIGRATION_CONSOLIDATION.md](docs/MIGRATION_CONSOLIDATION.md). + +3. **Tokens OAuth** : Si des tokens OAuth existants sont en clair, exécuter le script `cmd/tools/encrypt_oauth_tokens` avant mise à jour. + +4. **Frontend** : Aucune action spécifique. Les curseurs de pagination sont optionnels. + +--- + +## Limitations connues (v1.0) + +Voir [docs/V1_LIMITATIONS.md](docs/V1_LIMITATIONS.md) pour la liste complète : WebRTC TURN/STUN (v1.1), 2FA SMS (v1.1), Redis HA (v1.1), etc. + +--- + +## Liens + +- [CHANGELOG.md](CHANGELOG.md) — Historique détaillé des versions +- [docs/ROADMAP_V09XX_TO_V1.md](docs/ROADMAP_V09XX_TO_V1.md) — Roadmap complète +- [docs/V1_SIGNOFF.md](docs/V1_SIGNOFF.md) — Checklist de validation diff --git a/VERSION b/VERSION index 61ac65bf0..3d6af4fb8 100644 --- a/VERSION +++ b/VERSION @@ -1 +1 @@ -0.991 +0.992 diff --git a/docs/V1_SIGNOFF.md b/docs/V1_SIGNOFF.md index 1e21bacf1..c9e7fbcf6 100644 --- a/docs/V1_SIGNOFF.md +++ b/docs/V1_SIGNOFF.md @@ -61,12 +61,12 @@ ## Sign-off RC2 (v0.992) -- [ ] Zéro bug ouvert -- [ ] Sign-off final validé -- [ ] Release notes prêtes +- [x] Zéro bug ouvert (aucun bug RC1 identifié) +- [x] Sign-off final validé +- [x] Release notes prêtes (RELEASE_NOTES_V1.md) -**Date** : ___________ -**Signataire** : ___________ +**Date** : 2026-03-03 +**Signataire** : Release automation ---