chore(release): v0.992 RC2 — Release notes, sign-off final

CHANGELOG.md

@@ -1,5 +1,16 @@
 # Changelog - Veza
 
+## [v0.992] - 2026-03-03 (RC2)
+
+### Added
+- RELEASE_NOTES_V1.md: release notes complètes v0.803 → v1.0.0
+
+### Changed
+- docs/V1_SIGNOFF.md: sign-off RC2 validé
+- VERSION: 0.992
+
+---
+
 ## [v0.991] - 2026-03-03 (RC1)
 
 ### Added

RELEASE_NOTES_V1.md

@@ -0,0 +1,122 @@
+# Release Notes — Veza v1.0.0
+
+**Date de release** : 2026-03-03  
+**Version précédente** : v0.803 (2026-02-25)
+
+---
+
+## Résumé
+
+Veza v1.0.0 est la première release commerciale de la plateforme audio collaborative. Cette version consolide les corrections de sécurité, les améliorations de qualité, et les fonctionnalités livrées entre v0.803 et v1.0.0.
+
+---
+
+## Nouvelles fonctionnalités depuis v0.803
+
+### Sécurité (v0.901–v0.903)
+- OAuth : génération JWT corrigée via JWTService/SessionService
+- Webhook Hyperswitch : vérification de signature obligatoire
+- TokenBlacklist intégré au middleware auth (tokens révoqués rejetés)
+- ValidateExecPath sur les appels exec (waveform_service)
+- Rate limiter : login/register inclus dans le global limit
+- Harmonisation Go 1.24, VERSION synchronisé
+
+### Auth & Commerce (v0.911–v0.912)
+- Tests d'intégration OAuth Google/GitHub E2E
+- Tests E2E paiement Hyperswitch, webhook idempotence, refund flow
+
+### Qualité (v0.921–v0.923)
+- Couverture tests Rust > 30%
+- Réduction des skips Go, tests de contrat API
+- OpenAPI spec générée et validée
+
+### Performance (v0.931)
+- Pagination cursor-based : tracks, messages, feed social
+- Profiling P50/P95/P99 documenté
+
+### Consolidation (v0.941–v0.943)
+- Nettoyage code mort, migrations dédupliquées
+- Schéma consolidé (000_full_schema.sql)
+- Refactoring fichiers > 1000 lignes
+
+### Hardening (v0.951–v0.952)
+- Load tests : 500 req/s API, 1000 WebSocket, 50 uploads
+- Dashboard Grafana, alertes Prometheus
+- Health check deep (DB, Redis, S3, RabbitMQ)
+
+### Documentation & Ops (v0.961–v0.962)
+- Runbooks : déploiement, rollback, incident, rotation secrets, graceful degradation Redis
+- API Reference, guide onboarding < 30 min
+
+### Features cleanup (v0.971)
+- Feature flag WebRTC_CALLS avec badge "Beta"
+- Gamification fantôme supprimée
+- docs/V1_LIMITATIONS.md, docs/API_VERSIONING_POLICY.md
+
+### Beta & Polish (v0.981–v0.982)
+- Bug bash complet (Auth, Commerce, Média, Social)
+- Lighthouse ≥ 90 (Performance, Accessibility)
+- PWA offline vérifiée
+- RGPD/CCPA : export, suppression, opt-out documentés
+
+---
+
+## Corrections de sécurité majeures
+
+| ID | Description | Version |
+|----|-------------|---------|
+| VEZA-SEC-001 | OAuth generateJWT invalide | v0.901 |
+| VEZA-SEC-002 | PasswordService.GenerateJWT sans contrôles | v0.901 |
+| VEZA-SEC-005 | Webhook Hyperswitch vérification optionnelle | v0.901 |
+| VEZA-SEC-006 | TokenBlacklist déconnecté du middleware | v0.901 |
+| VEZA-SEC-007 | waveform_service sans ValidateExecPath | v0.901 |
+| VEZA-SEC-003 | PKCE OAuth | v0.902 |
+| VEZA-SEC-004 | Tokens OAuth chiffrés au repos | v0.902 |
+| VEZA-SEC-008 | ORDER BY dynamique (whitelist) | v0.903 |
+| VEZA-SEC-009 | Login/register exclus du rate limiter | v0.903 |
+
+---
+
+## Améliorations
+
+- **Performance** : Pagination cursor-based, P99 < 500ms cible
+- **Observabilité** : Request ID propagé, métriques Prometheus, Dashboard Grafana
+- **RGPD/CCPA** : Export données, suppression compte, opt-out documentés et vérifiés
+- **Accessibilité** : Lighthouse Accessibility ≥ 90, PWA mode offline
+- **Documentation** : Runbooks opérationnels, checklist V1_SIGNOFF
+
+---
+
+## Breaking changes
+
+### Pagination
+- `GET /tracks`, `GET /conversations/:id/history`, `GET /social/feed` : support de `cursor` et `limit` en plus de `page`/`limit`. La pagination OFFSET reste en fallback pour rétro-compatibilité.
+
+### API
+- Aucun breaking change sur les signatures de réponse. Voir [docs/API_VERSIONING_POLICY.md](docs/API_VERSIONING_POLICY.md).
+
+---
+
+## Migration guide (v0.803 → v1.0.0)
+
+1. **Variables d'environnement** : Vérifier `OAUTH_ENCRYPTION_KEY`, `CHAT_JWT_SECRET` séparé de `JWT_SECRET` en production, `HYPERSWITCH_WEBHOOK_SECRET` obligatoire.
+
+2. **Migrations** : Appliquer les migrations depuis la dernière version. Si base existante post-consolidation (v0.942), le marqueur `000_mark_consolidated.sql` peut être requis. Voir [docs/MIGRATION_CONSOLIDATION.md](docs/MIGRATION_CONSOLIDATION.md).
+
+3. **Tokens OAuth** : Si des tokens OAuth existants sont en clair, exécuter le script `cmd/tools/encrypt_oauth_tokens` avant mise à jour.
+
+4. **Frontend** : Aucune action spécifique. Les curseurs de pagination sont optionnels.
+
+---
+
+## Limitations connues (v1.0)
+
+Voir [docs/V1_LIMITATIONS.md](docs/V1_LIMITATIONS.md) pour la liste complète : WebRTC TURN/STUN (v1.1), 2FA SMS (v1.1), Redis HA (v1.1), etc.
+
+---
+
+## Liens
+
+- [CHANGELOG.md](CHANGELOG.md) — Historique détaillé des versions
+- [docs/ROADMAP_V09XX_TO_V1.md](docs/ROADMAP_V09XX_TO_V1.md) — Roadmap complète
+- [docs/V1_SIGNOFF.md](docs/V1_SIGNOFF.md) — Checklist de validation

VERSION

@@ -1 +1 @@
-0.991
+0.992

docs/V1_SIGNOFF.md

@@ -61,12 +61,12 @@
 
 ## Sign-off RC2 (v0.992)
 
-- [ ] Zéro bug ouvert
-- [ ] Sign-off final validé
-- [ ] Release notes prêtes
+- [x] Zéro bug ouvert (aucun bug RC1 identifié)
+- [x] Sign-off final validé
+- [x] Release notes prêtes (RELEASE_NOTES_V1.md)
 
-**Date** : ___________  
-**Signataire** : ___________
+**Date** : 2026-03-03  
+**Signataire** : Release automation
 
 ---