senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/SECRETS_AUDIT.md
senke 2df921abd5 v0.9.1
2026-03-05 19:22:31 +01:00

1.1 KiB
Raw Blame History

Audit des secrets (TASK-SEC-002)

v0.9.1 — Procédure d'audit des secrets exposés.

Outils recommandés

# Gitleaks (recommandé)
gitleaks detect --source . --verbose --report-path gitleaks-report.json

# TruffleHog
truffleHog --regex --entropy high .

Vérifications manuelles

  1. Aucun fichier .env ou .env.* (hors .example) ne doit être commité
  2. Aucun fichier *.pem contenant des clés privées
  3. Aucun secret hardcodé (JWT, Stripe, OAuth, DB password)
  4. .gitignore couvre : .env, .env.*, jwt-private.pem, jwt-public.pem

Rotation des clés si compromise

En cas de findings :

  1. JWT : Régénérer clés RSA (scripts/generate-jwt-keys.sh), déployer, invalider tokens (migration 123)
  2. Stripe : Régénérer dans Dashboard
  3. OAuth : Régénérer client secret chez le provider
  4. Database : Changer mot de passe, mettre à jour DATABASE_URL

État v0.9.1

  • veza-common : plus de secret par défaut (VEZA-SEC-001 corrigé)
  • Backend : RS256 préféré, JWT_SECRET fallback dev uniquement
  • Stream server : JWT_PUBLIC_KEY_PATH ou JWT_SECRET
  • .gitignore : jwt-private.pem, jwt-public.pem