veza/REMEDIATION_BASELINE.md

Baseline pré-remédiation — Audit Veza

Date : 11 février 2026 Branche : fix/audit-remediation

Résultats des tests (baseline)

Backend Go (veza-backend-api)

• Commande : go test ./... -count=1
• Statut : Timeout (>120s) — tests non exécutés en entier
• Note : À revalider après remédiation

Frontend (apps/web)

• Commande : npm test -- --run
• Résultat : 104 failed | 172 passed | 5 skipped (281 fichiers)
• Tests : 439 failed | 2807 passed | 84 skipped (3330 total)
• Durée : ~155s
• Échecs connus : TrackHistory (getByRole), TrackList (selector invalide), divers composants

Chat Server (veza-chat-server)

• Commande : cargo test
• Statut : Erreur de compilation
• Cause : veza-common — TOTP::new() API changée (totp-rs 5.7.0 attend 7 args, 5 fournis)

Stream Server (veza-stream-server)

• Commande : cargo test
• Statut : Timeout (>120s) ou dépend de veza-common
• Note : À revalider après remédiation

Fichiers critiques identifiés

• .gitignore : ligne 76-77 expose veza-stream-server/.env
• veza-stream-server/src/auth/mod.rs : credentials admin/admin123
• config/incus/env/*.env : credentials en clair trackés
• apps/web : axios 1.6.7 (4 CVE)