29 lines
730 B
Markdown
29 lines
730 B
Markdown
# Audit de sécurité — 4NK_template (projet)
|
||
|
||
## Menaces
|
||
|
||
- Secrets, permissions, endpoints sensibles, dépendances, supply chain
|
||
|
||
## Contrôles
|
||
|
||
- Scan secrets/permissions
|
||
- Audit dépendances (outil selon la pile des projets)
|
||
- Vérifs de configuration (auth/TLS/CORS/rate‑limit)
|
||
- Journalisation sécurité, traçabilité
|
||
|
||
## CI
|
||
|
||
- Job `security-audit` échoue si alerte critique
|
||
- Rapports archivés en artefacts
|
||
|
||
## Politique des secrets
|
||
|
||
- Exclusivement secrets CI/variables d’environnement
|
||
- Rotation régulière, révocation sur incident
|
||
- Aucun secret en clair dans le dépôt
|
||
|
||
## Remédiation
|
||
|
||
- Prioriser, corriger, documenter dans `CHANGELOG.md`
|
||
- Ajouter des tests de non‑régression sécurité si pertinent
|