4NK_template/docs/project/SECURITY_AUDIT.md

Audit de sécurité — 4NK_template (projet)

Menaces

• Secrets, permissions, endpoints sensibles, dépendances, supply chain

Contrôles

• Scan secrets/permissions
• Audit dépendances (outil selon la pile des projets)
• Vérifs de configuration (auth/TLS/CORS/rate‑limit)
• Journalisation sécurité, traçabilité

CI

• Job security-audit échoue si alerte critique
• Rapports archivés en artefacts

Politique des secrets

• Exclusivement secrets CI/variables d’environnement
• Rotation régulière, révocation sur incident
• Aucun secret en clair dans le dépôt

Remédiation

• Prioriser, corriger, documenter dans CHANGELOG.md
• Ajouter des tests de non‑régression sécurité si pertinent