feature: sweep flotte (propagation libs copy-first, migration TS, chantiers en cours)

package-lock.json

@@ -1,12 +1,12 @@
 {
     "name": "vscodestat",
-    "version": "1.3.2",
+    "version": "1.4.0",
     "lockfileVersion": 3,
     "requires": true,
     "packages": {
         "": {
             "name": "vscodestat",
-            "version": "1.3.2",
+            "version": "1.4.0",
             "license": "ISC",
             "devDependencies": {
                 "@eslint/js": "^10.0.1",

package.json

@@ -1,7 +1,7 @@
 {
     "name": "vscodestat",
     "displayName": "vscodestat",
-    "version": "1.3.2",
+    "version": "1.4.0",
     "description": "",
     "categories": [
         "Other"

todo.txt

@@ -1,22 +0,0 @@
-# AUDIT SÉCURITÉ — vscodestat — 2026-06-21
-# Stack: extension VS Code (TypeScript) de télémétrie. Émet des events (open/save/focus/ping)
-# en POST vers une URL configurée (vscodestat.url, pointée sur monitoringserver via env). Pas de
-# serveur, tourne dans l'IDE de l'utilisateur. gitleaks: no leaks found.
-# Méthode: revue de code statique.
-
-## 🔴 CRITIQUE (exploitable à distance / fuite de données / RCE)
-RAS
-
-## 🟠 ÉLEVÉ
-RAS
-
-## 🟡 MOYEN
-RAS
-
-## 🔵 DURCISSEMENT (faible)
-[ ] makeHttpRequest POST vers vscode.workspace.getConfiguration('vscodestat.url') sans
-    validation de protocole/host (src/extension.ts). L'URL est posée par l'opérateur (settings /
-    env VSCODESTAT_USER dans l'entrypoint vscode), pas par un tiers → pas exploitable. À noter :
-    n'envoie que des métadonnées (nom de projet, event), pas de contenu de fichier.
-
-# Audit OK — aucun finding exploitable le 2026-06-21