Regole di QA e conformità ANSSI

Questo documento definisce le regole di qualità e sicurezza applicabili all'intero progetto gitrust. Ogni batch deve soddisfare queste regole prima della fusione.

1. Cancelli di compilazione obbligatori

Qualsiasi modifica deve superare queste 4 porte senza errori:

Gate Commande Critère
Formatage cargo fmt --all -- --check Zéro diff
Linting cargo clippy --workspace -- -D warnings Zéro warning
Tests unitaires cargo test --workspace 100% pass
Build CSS npx tailwindcss -i static/css/input.css -o static/css/style.css --minify Si templates modifiés

Cancelli aggiuntivi (da installare)

Gate Outil Rôle
Audit dépendances cargo audit Détection CVE dans les deps
Licences & bans cargo deny check Licences compatibles, pas de crate bannie
Secrets dans le code Recherche de patterns sensibles Pas de token/mot de passe en dur

2. Norme di sicurezza (ANSSI PA-074)

2.1 Pelucchi antiruggine obbligatori (già in atto)

#![forbid(unsafe_code)]                    // core, web, hooks
#![deny(unsafe_code)]                      // git, ssh (FFI nécessaire)
#![deny(clippy::unwrap_used)]
#![deny(clippy::expect_used)]
#![deny(clippy::panic)]
#![deny(clippy::indexing_slicing)]
#![deny(clippy::mem_forget)]

2.2 Lista di controllo di sicurezza per caratteristica

Prima di qualsiasi implementazione che influenzi l'autenticazione, i segreti o le autorizzazioni, verificare:

  • [ ] Secrets jamais en clair en base — hash SHA-256 ou bcrypt
  • [ ] Secrets jamais loggés — vérifier tracing::info/debug/warn, Display et Debug impls ne révèlent pas le secret
  • [ ] Comparaison constant-timesubtle::ConstantTimeEq pour toute validation de secret (pas de == sur des hash)
  • [ ] Rate-limiting — endpoint d'authentification protégé
  • [ ] CSRF — token valide sur toute action mutante (POST/PUT/DELETE)
  • [ ] Ownership vérifiée (anti-IDOR) — le user ne peut agir que sur ses propres ressources (vérifier user_id côté serveur)
  • [ ] Expiration obligatoire — tout token/session a une durée de vie max
  • [ ] Audit log — création, révocation, utilisation suspecte tracées
  • [ ] Zeroize — types sensibles implémentent Zeroize/ZeroizeOnDrop
  • [ ] Path traversal — validation des chemins disque (pas de .., /, \)

2.3 Segnalini SEC

Il codice utilizza i commenti "//SEC-XX" per tracciare le decisioni sulla sicurezza. Qualsiasi nuovo controllo deve essere contrassegnato con il successivo numero disponibile nella sua categoria:

Préfixe Catégorie Exemples
SEC-C Cryptographie Timing attack, CSRF, PKCE
SEC-H HTTP/Headers X-Forwarded-For, cookies, nonce
SEC-L Logique métier Hashing, validation, defaults
SEC-M Mémoire/sessions Rate-limit DoS, refresh tokens

3. Test richiesti per categoria

3.1 Matrice di copertura

Catégorie Quand appliquer Exemples
Unitaire Logique pure (validation, parsing, conversion) RepoSlug::new("../evil") → erreur
Intégration Service avec DB (CRUD, contraintes, transactions) PatService::validate token expiré → None
Handler Endpoint HTTP (status, redirect, CSRF, auth) POST sans CSRF → 403
E2E Playwright Flow utilisateur complet Créer token → copier → cloner un dépôt
Sécurité négatif Tout bypass imaginable Token user A sur ressource user B → 401

3.2 Regole di prova

  1. Test di integrazione su DB reali: nessun mock per il livello di persistenza (i mock nascondono i bug di migrazione)
  2. Test negativi richiesti — per ogni percorso positivo, testare almeno: input non valido, non autenticato, non autorizzato, scaduto, revocato
  3. Test E2E in francese: coerenti con l'interfaccia utente (locale fr-FR)
  4. Nessun sleep() nei test — utilizza retry/poll con timeout
  5. Dati di test isolati: ogni test crea i propri dati (nessuna dipendenza dall'ordine di esecuzione)

4. Regole del codice

4.1 Confini del quadro

  • Non modificare mai crates/rustwarden-core/
  • Riutilizzare i servizi framework prima dell'implementazione (autenticazione, utenti, sessioni, ResourceService, i18n, middleware)
  • Se manca un servizio, estendilo dal lato gitrust (wrapper, funzionalità impls)

4.2 Beni

  • Zero CDN: tutti i CSS/JS serviti da static/
  • Il CSP del framework blocca i domini esterni

4.3 Gestione degli errori

  • "GitrustError" con "IntoResponse" per la mappatura HTTP
  • Nessun .unwrap() / .expect() / panic!() / [index]
  • Errori utente: messaggi generici (nessuna perdita di informazioni interne)

4.4 Convalida delle frontiere

  • Convalida gli input dell'utente (moduli, parametri di query, intestazioni)
  • Non riconvalidare tra servizi interni
  • Newtype con convalida della costruzione (RepoSlug, TeamSlug, Fingerprint, TokenHash)

5. Lista di controllo pre-fusione

Prima di ogni unione batch:

  • [ ] cargo fmt --all -- --check passe
  • [ ] cargo clippy --workspace -- -D warnings passe
  • [ ] cargo test --workspace — tous les tests passent
  • [ ] Tests E2E Playwright passent (npm run test:e2e)
  • [ ] CSS rebuild si templates modifiés
  • [ ] Aucun secret en clair dans le code ou les logs
  • [ ] Checklist sécurité §2.2 validée (si applicable)
  • [ ] Pas de modification dans crates/rustwarden-core/