Regras de controle de qualidade e conformidade com ANSSI

Este documento define as regras de qualidade e segurança aplicáveis ​​a todo o projeto gitrust. Cada lote deve satisfazer essas regras antes da mesclagem.

1. Portões de compilação obrigatórios

Qualquer modificação deve passar por estes 4 portões sem erros:

Gate Commande Critère
Formatage cargo fmt --all -- --check Zéro diff
Linting cargo clippy --workspace -- -D warnings Zéro warning
Tests unitaires cargo test --workspace 100% pass
Build CSS npx tailwindcss -i static/css/input.css -o static/css/style.css --minify Si templates modifiés

Portões adicionais (a serem instalados)

Gate Outil Rôle
Audit dépendances cargo audit Détection CVE dans les deps
Licences & bans cargo deny check Licences compatibles, pas de crate bannie
Secrets dans le code Recherche de patterns sensibles Pas de token/mot de passe en dur

2. Normas de segurança (ANSSI PA-074)

2.1 Rust Linnts obrigatórios (já em vigor)

#![forbid(unsafe_code)]                    // core, web, hooks
#![deny(unsafe_code)]                      // git, ssh (FFI nécessaire)
#![deny(clippy::unwrap_used)]
#![deny(clippy::expect_used)]
#![deny(clippy::panic)]
#![deny(clippy::indexing_slicing)]
#![deny(clippy::mem_forget)]

2.2 Lista de verificação de segurança por recurso

Antes de qualquer implementação que afete autenticação, segredos ou permissões, verifique:

  • [ ] Secrets jamais en clair en base — hash SHA-256 ou bcrypt
  • [ ] Secrets jamais loggés — vérifier tracing::info/debug/warn, Display et Debug impls ne révèlent pas le secret
  • [ ] Comparaison constant-timesubtle::ConstantTimeEq pour toute validation de secret (pas de == sur des hash)
  • [ ] Rate-limiting — endpoint d'authentification protégé
  • [ ] CSRF — token valide sur toute action mutante (POST/PUT/DELETE)
  • [ ] Ownership vérifiée (anti-IDOR) — le user ne peut agir que sur ses propres ressources (vérifier user_id côté serveur)
  • [ ] Expiration obligatoire — tout token/session a une durée de vie max
  • [ ] Audit log — création, révocation, utilisation suspecte tracées
  • [ ] Zeroize — types sensibles implémentent Zeroize/ZeroizeOnDrop
  • [ ] Path traversal — validation des chemins disque (pas de .., /, \)

2.3 Marcadores SEC

O código usa comentários //SEC-XX para rastrear decisões de segurança. Qualquer novo controle deve ser marcado com o próximo número disponível em sua categoria:

Préfixe Catégorie Exemples
SEC-C Cryptographie Timing attack, CSRF, PKCE
SEC-H HTTP/Headers X-Forwarded-For, cookies, nonce
SEC-L Logique métier Hashing, validation, defaults
SEC-M Mémoire/sessions Rate-limit DoS, refresh tokens

3. Testes exigidos por categoria

3.1 Matriz de cobertura

Catégorie Quand appliquer Exemples
Unitaire Logique pure (validation, parsing, conversion) RepoSlug::new("../evil") → erreur
Intégration Service avec DB (CRUD, contraintes, transactions) PatService::validate token expiré → None
Handler Endpoint HTTP (status, redirect, CSRF, auth) POST sans CSRF → 403
E2E Playwright Flow utilisateur complet Créer token → copier → cloner un dépôt
Sécurité négatif Tout bypass imaginable Token user A sur ressource user B → 401

3.2 Regras de teste

  1. Testes de integração em banco de dados real — sem simulações para a camada de persistência (simulações escondem bugs de migração)
  2. Testes negativos necessários — para cada caminho feliz, teste pelo menos: entrada inválida, não autenticada, não autorizada, expirada, revogada
  3. Testes E2E em francês — consistente com a UI (locale fr-FR)
  4. Não sleep() nos testes — use retry/poll com tempo limite
  5. Dados de teste isolados — cada teste cria seus próprios dados (sem dependência de ordem de execução)

4. Regras do Código

4.1 Limite da estrutura

  • Nunca modifique crates/rustwarden-core/
  • Reutilize os serviços da estrutura antes da implementação (autenticação, usuários, sessões, ResourceService, i18n, middleware)
  • Se um serviço estiver faltando, estenda-o no lado do gitrust (wrappers, recurso impls)

4.2 Ativos

  • Zero CDN — todos os CSS/JS servidos por static/
  • Framework CSP bloqueia domínios externos

4.3 Tratamento de erros

  • GitrustError com IntoResponse para mapeamento HTTP
  • Não .unwrap() / .expect() / panic!() / [index]
  • Erros do usuário: mensagens genéricas (sem vazamento de informações internas)

4.4 Validação de fronteira

  • Valide as entradas do usuário (formulários, parâmetros de consulta, cabeçalhos)
  • Não revalidar entre serviços internos
  • Newtypes com validação de construção (RepoSlug, TeamSlug, Fingerprint, TokenHash)

5. Lista de verificação pré-mesclagem

Antes de cada mesclagem de lote:

  • [ ] cargo fmt --all -- --check passe
  • [ ] cargo clippy --workspace -- -D warnings passe
  • [ ] cargo test --workspace — tous les tests passent
  • [ ] Tests E2E Playwright passent (npm run test:e2e)
  • [ ] CSS rebuild si templates modifiés
  • [ ] Aucun secret en clair dans le code ou les logs
  • [ ] Checklist sécurité §2.2 validée (si applicable)
  • [ ] Pas de modification dans crates/rustwarden-core/