36 lines
1.1 KiB
Markdown
36 lines
1.1 KiB
Markdown
# Audit des secrets (TASK-SEC-002)
|
|
|
|
v0.9.1 — Procédure d'audit des secrets exposés.
|
|
|
|
## Outils recommandés
|
|
|
|
```bash
|
|
# Gitleaks (recommandé)
|
|
gitleaks detect --source . --verbose --report-path gitleaks-report.json
|
|
|
|
# TruffleHog
|
|
truffleHog --regex --entropy high .
|
|
```
|
|
|
|
## Vérifications manuelles
|
|
|
|
1. Aucun fichier `.env` ou `.env.*` (hors `.example`) ne doit être commité
|
|
2. Aucun fichier `*.pem` contenant des clés privées
|
|
3. Aucun secret hardcodé (JWT, Stripe, OAuth, DB password)
|
|
4. `.gitignore` couvre : `.env`, `.env.*`, `jwt-private.pem`, `jwt-public.pem`
|
|
|
|
## Rotation des clés si compromise
|
|
|
|
En cas de findings :
|
|
|
|
1. **JWT** : Régénérer clés RSA (`scripts/generate-jwt-keys.sh`), déployer, invalider tokens (migration 123)
|
|
2. **Stripe** : Régénérer dans Dashboard
|
|
3. **OAuth** : Régénérer client secret chez le provider
|
|
4. **Database** : Changer mot de passe, mettre à jour DATABASE_URL
|
|
|
|
## État v0.9.1
|
|
|
|
- veza-common : plus de secret par défaut (VEZA-SEC-001 corrigé)
|
|
- Backend : RS256 préféré, JWT_SECRET fallback dev uniquement
|
|
- Stream server : JWT_PUBLIC_KEY_PATH ou JWT_SECRET
|
|
- `.gitignore` : jwt-private.pem, jwt-public.pem
|