# Security Scan — v0.991 RC1

**Date** : 2026-03-03
**Objectif** : Valider l'absence de vulnérabilités CRITICAL bloquantes pour RC1

---

## Go (govulncheck)

| ID | Module | Sévérité | Statut | Justification |
|----|--------|----------|--------|---------------|
| GO-2026-4337 | crypto/tls (stdlib) | | Accepté | Fix dans go1.25.7 — mise à jour Go planifiée |
| GO-2025-4233 | quic-go | | Accepté | QPACK DoS — impact limité, fix en v0.57.0 |
| GO-2025-4108 | containerd | | Accepté | Testcontainers uniquement — pas en production |
| GO-2025-4100 | containerd | | Accepté | Idem — usage tests uniquement |
| GO-2025-3528 | containerd | | Accepté | Idem — usage tests uniquement |

**Actions** : Mettre à jour Go vers 1.25.7+ si disponible. Containerd vulnérabilités : testcontainers utilisé uniquement en CI/tests, pas exposé en production.

---

## npm (apps/web)

| Package | Sévérité | Statut | Note |
|---------|----------|--------|------|
| basic-ftp | CRITICAL | À traiter | Path Traversal — dépendance transitive, `npm audit fix` en conflit peer (Storybook/Vite) |
| minimatch | HIGH | À traiter | ReDoS |
| rollup | HIGH | À traiter | Path Traversal |
| storybook | HIGH | Accepté | WebSocket Hijacking — dev only, pas en production |
| ajv | MODERATE | Accepté | ReDoS, usage limité |

**Actions** : Exécuter `npm audit fix --legacy-peer-deps` ou mise à jour manuelle des dépendances. Storybook : acceptable car outil de dev uniquement.

---

## Rust (cargo audit)

`cargo-audit` non installé. Commande : `cargo install cargo-audit && cargo audit`

---

## Docker (Trivy)

À exécuter sur les images finales : `trivy image <image>:v0.991-rc1`

---

## Verdict RC1

- [ ] Zéro vulnérabilité CRITICAL non documentée
- [ ] Vulnérabilités ÉLEVÉES documentées avec justification
- [ ] Plan de correction pour v1.0.1 si nécessaire