# Baseline pré-remédiation — Audit Veza

**Date** : 11 février 2026
**Branche** : fix/audit-remediation

## Résultats des tests (baseline)

### Backend Go (veza-backend-api)
- **Commande** : `go test ./... -count=1`
- **Statut** : Timeout (>120s) — tests non exécutés en entier
- **Note** : À revalider après remédiation

### Frontend (apps/web)
- **Commande** : `npm test -- --run`
- **Résultat** : 104 failed | 172 passed | 5 skipped (281 fichiers)
- **Tests** : 439 failed | 2807 passed | 84 skipped (3330 total)
- **Durée** : ~155s
- **Échecs connus** : TrackHistory (getByRole), TrackList (selector invalide), divers composants

### Chat Server (veza-chat-server)
- **Commande** : `cargo test`
- **Statut** : Erreur de compilation
- **Cause** : veza-common — TOTP::new() API changée (totp-rs 5.7.0 attend 7 args, 5 fournis)

### Stream Server (veza-stream-server)
- **Commande** : `cargo test`
- **Statut** : Timeout (>120s) ou dépend de veza-common
- **Note** : À revalider après remédiation

## Fichiers critiques identifiés

- `.gitignore` : ligne 76-77 expose veza-stream-server/.env
- `veza-stream-server/src/auth/mod.rs` : credentials admin/admin123
- `config/incus/env/*.env` : credentials en clair trackés
- `apps/web` : axios 1.6.7 (4 CVE)