[Sécu] préparer liste des questions suite à audit #3689

numew · 2025-02-10T14:28:22Z

Et faire suivre à Thomas

sfinx13 · 2025-02-11T09:25:05Z

Mes questions :

Sur la base des vulnérabilités identifiées, nous aimerions savoir concrètement lesquelles nous permettent de passer d’un niveau de sécurité perfectible à un bon niveau de sécurité.
En quoi l’obfuscation du code source client serait-elle pertinente dans notre cas, sachant que le projet est open source et disponible sur GitHub ? Quels bénéfices concrets cela nous apporterait-il en termes de sécurité ? D'ailleurs aucune données sensibles (secrets, clé api) n'est exposé sur le code source client.
Nous n'avons pas obtenu le même résultat de l'audit avec l'outil utilisé (voir PJ). De plus, le certificat SSL en production (Autorité Let’s Encrypt) est différent de celui utilisé sur la plateforme de demo (Autorité Gandi). Toutes nos excuses, nous avons oublié de le mentionner.
Pouvez-vous réaliser un nouvel audit du certificat, cette fois-ci sur https://histologe.beta.gouv.fr/, afin de clarifier la situation ?

numew added this to Produit Histologe 🏡 Feb 10, 2025

numew converted this from a draft issue Feb 10, 2025

sfinx13 moved this from To do to Tests in Produit Histologe 🏡 Feb 11, 2025

Provide feedback