sdk_relay/docs/SECURITY_AUDIT.md

Audit de Sécurité - sdk_relay

• CI: job security-audit exécutant scripts/security/audit.sh.
• Portée: cargo audit, npm audit si présent, scan de secrets.
• Critères bloquants: vulnérabilités élevées/critiques non ignorées, secrets détectés.
• Bloquant release via release-guard.

Portée

• Serveur WebSocket (8090)
• Serveur HTTP (8091)
• Sync Manager
• Intégration Bitcoin Core/Blindbit

Contrôles

• Dépendances (cargo audit)
• Secrets en dur (grep tokens/password/key)
• Permissions de fichiers (cookies, clés)
• Validation des entrées (WS/HTTP)

Tests

• Tests automatiques (scripts + cargo)
• Fuzzing (cibles parsing JSON)
• Charge et DoS (rate limiting)

Recommandations

• Activer WSS/HTTPS en prod
• Signer/valider les messages de sync
• Journalisation sécurisée (sans secrets)
• Mise à jour régulière des deps

Résultats et suivi

• Issues Gitea créées pour findings
• Plan de remédiation par priorité