# Audit des secrets (TASK-SEC-002)

v0.9.1 — Procédure d'audit des secrets exposés.

## Outils recommandés

```bash
# Gitleaks (recommandé)
gitleaks detect --source . --verbose --report-path gitleaks-report.json

# TruffleHog
truffleHog --regex --entropy high .
```

## Vérifications manuelles

1. Aucun fichier `.env` ou `.env.*` (hors `.example`) ne doit être commité
2. Aucun fichier `*.pem` contenant des clés privées
3. Aucun secret hardcodé (JWT, Stripe, OAuth, DB password)
4. `.gitignore` couvre : `.env`, `.env.*`, `jwt-private.pem`, `jwt-public.pem`

## Rotation des clés si compromise

En cas de findings :

1. **JWT** : Régénérer clés RSA (`scripts/generate-jwt-keys.sh`), déployer, invalider tokens (migration 123)
2. **Stripe** : Régénérer dans Dashboard
3. **OAuth** : Régénérer client secret chez le provider
4. **Database** : Changer mot de passe, mettre à jour DATABASE_URL

## État v0.9.1

- veza-common : plus de secret par défaut (VEZA-SEC-001 corrigé)
- Backend : RS256 préféré, JWT_SECRET fallback dev uniquement
- Stream server : JWT_PUBLIC_KEY_PATH ou JWT_SECRET
- `.gitignore` : jwt-private.pem, jwt-public.pem