695 B
695 B
Audit de Sécurité - sdk_relay
Portée
- Serveur WebSocket (8090)
- Serveur HTTP (8091)
- Sync Manager
- Intégration Bitcoin Core/Blindbit
Contrôles
- Dépendances (
cargo audit) - Secrets en dur (grep tokens/password/key)
- Permissions de fichiers (cookies, clés)
- Validation des entrées (WS/HTTP)
Tests
- Tests automatiques (scripts + cargo)
- Fuzzing (cibles parsing JSON)
- Charge et DoS (rate limiting)
Recommandations
- Activer WSS/HTTPS en prod
- Signer/valider les messages de sync
- Journalisation sécurisée (sans secrets)
- Mise à jour régulière des deps
Résultats et suivi
- Issues Gitea créées pour findings
- Plan de remédiation par priorité