From 695d1c1b505b39b36e8aad608bc61912d5dcaa31 Mon Sep 17 00:00:00 2001
From: root <rafi.piccolo@gmail.com>
Date: Tue, 23 Jun 2026 17:43:28 +0200
Subject: [PATCH] feature: sweep flotte (propagation libs copy-first, migration
 TS, chantiers en cours)

---
 package-lock.json |  4 ++--
 package.json      |  2 +-
 todo.txt          | 22 ----------------------
 3 files changed, 3 insertions(+), 25 deletions(-)
 delete mode 100644 todo.txt

diff --git a/package-lock.json b/package-lock.json
index baccb77..8159b40 100644
--- a/package-lock.json
+++ b/package-lock.json
@@ -1,12 +1,12 @@
 {
     "name": "vscodestat",
-    "version": "1.3.2",
+    "version": "1.4.0",
     "lockfileVersion": 3,
     "requires": true,
     "packages": {
         "": {
             "name": "vscodestat",
-            "version": "1.3.2",
+            "version": "1.4.0",
             "license": "ISC",
             "devDependencies": {
                 "@eslint/js": "^10.0.1",
diff --git a/package.json b/package.json
index b6ec0a7..60ec723 100644
--- a/package.json
+++ b/package.json
@@ -1,7 +1,7 @@
 {
     "name": "vscodestat",
     "displayName": "vscodestat",
-    "version": "1.3.2",
+    "version": "1.4.0",
     "description": "",
     "categories": [
         "Other"
diff --git a/todo.txt b/todo.txt
deleted file mode 100644
index 4033598..0000000
--- a/todo.txt
+++ /dev/null
@@ -1,22 +0,0 @@
-# AUDIT SÉCURITÉ — vscodestat — 2026-06-21
-# Stack: extension VS Code (TypeScript) de télémétrie. Émet des events (open/save/focus/ping)
-# en POST vers une URL configurée (vscodestat.url, pointée sur monitoringserver via env). Pas de
-# serveur, tourne dans l'IDE de l'utilisateur. gitleaks: no leaks found.
-# Méthode: revue de code statique.
-
-## 🔴 CRITIQUE (exploitable à distance / fuite de données / RCE)
-RAS
-
-## 🟠 ÉLEVÉ
-RAS
-
-## 🟡 MOYEN
-RAS
-
-## 🔵 DURCISSEMENT (faible)
-[ ] makeHttpRequest POST vers vscode.workspace.getConfiguration('vscodestat.url') sans
-    validation de protocole/host (src/extension.ts). L'URL est posée par l'opérateur (settings /
-    env VSCODESTAT_USER dans l'entrypoint vscode), pas par un tiers → pas exploitable. À noter :
-    n'envoie que des métadonnées (nom de projet, event), pas de contenu de fichier.
-
-# Audit OK — aucun finding exploitable le 2026-06-21