feature: sweep flotte (propagation libs copy-first, migration TS, chantiers en cours)
continuous-integration/drone/tag Build is passing
continuous-integration/drone/tag Build is passing
This commit is contained in:
Generated
+2
-2
@@ -1,12 +1,12 @@
|
||||
{
|
||||
"name": "vscodestat",
|
||||
"version": "1.3.2",
|
||||
"version": "1.4.0",
|
||||
"lockfileVersion": 3,
|
||||
"requires": true,
|
||||
"packages": {
|
||||
"": {
|
||||
"name": "vscodestat",
|
||||
"version": "1.3.2",
|
||||
"version": "1.4.0",
|
||||
"license": "ISC",
|
||||
"devDependencies": {
|
||||
"@eslint/js": "^10.0.1",
|
||||
|
||||
+1
-1
@@ -1,7 +1,7 @@
|
||||
{
|
||||
"name": "vscodestat",
|
||||
"displayName": "vscodestat",
|
||||
"version": "1.3.2",
|
||||
"version": "1.4.0",
|
||||
"description": "",
|
||||
"categories": [
|
||||
"Other"
|
||||
|
||||
@@ -1,22 +0,0 @@
|
||||
# AUDIT SÉCURITÉ — vscodestat — 2026-06-21
|
||||
# Stack: extension VS Code (TypeScript) de télémétrie. Émet des events (open/save/focus/ping)
|
||||
# en POST vers une URL configurée (vscodestat.url, pointée sur monitoringserver via env). Pas de
|
||||
# serveur, tourne dans l'IDE de l'utilisateur. gitleaks: no leaks found.
|
||||
# Méthode: revue de code statique.
|
||||
|
||||
## 🔴 CRITIQUE (exploitable à distance / fuite de données / RCE)
|
||||
RAS
|
||||
|
||||
## 🟠 ÉLEVÉ
|
||||
RAS
|
||||
|
||||
## 🟡 MOYEN
|
||||
RAS
|
||||
|
||||
## 🔵 DURCISSEMENT (faible)
|
||||
[ ] makeHttpRequest POST vers vscode.workspace.getConfiguration('vscodestat.url') sans
|
||||
validation de protocole/host (src/extension.ts). L'URL est posée par l'opérateur (settings /
|
||||
env VSCODESTAT_USER dans l'entrypoint vscode), pas par un tiers → pas exploitable. À noter :
|
||||
n'envoie que des métadonnées (nom de projet, event), pas de contenu de fichier.
|
||||
|
||||
# Audit OK — aucun finding exploitable le 2026-06-21
|
||||
Reference in New Issue
Block a user