# Audit de Sécurité - sdk_relay

- CI: job `security-audit` exécutant `scripts/security/audit.sh`.
- Portée: cargo audit, npm audit si présent, scan de secrets.
- Critères bloquants: vulnérabilités élevées/critiques non ignorées, secrets détectés.
- Bloquant release via `release-guard`.

## Portée
- Serveur WebSocket (8090)
- Serveur HTTP (8091)
- Sync Manager
- Intégration Bitcoin Core/Blindbit

## Contrôles
- Dépendances (`cargo audit`)
- Secrets en dur (grep tokens/password/key)
- Permissions de fichiers (cookies, clés)
- Validation des entrées (WS/HTTP)

## Tests
- Tests automatiques (scripts + cargo)
- Fuzzing (cibles parsing JSON)
- Charge et DoS (rate limiting)

## Recommandations
- Activer WSS/HTTPS en prod
- Signer/valider les messages de sync
- Journalisation sécurisée (sans secrets)
- Mise à jour régulière des deps

## Résultats et suivi
- Issues Gitea créées pour findings
- Plan de remédiation par priorité