fix: release

Co-authored-by: m.schnitzler <martin.wb.2015@gmail.com>
Co-committed-by: m.schnitzler <martin.wb.2015@gmail.com>

.husky/.gitignore

@@ -0,0 +1 @@
+_

.husky/commit-msg

@@ -0,0 +1,9 @@
+
+if [ -z "$(cat "$1" | grep -E '(^fix:)|(^feature:)|(^up$)|^Merge branch .+$')" ] ; then
+    echo ""
+    echo respecte le format de commit ❤
+    echo "  fix: xxx"
+    echo "  feature: xxx"
+    echo ""
+    exit 1
+fi

.husky/post-merge

@@ -0,0 +1,7 @@
+
+if git diff --name-only HEAD@{1} HEAD | grep package-lock.json ; then
+    echo "📦 package-lock.json changed. Running npm ci to update your dependencies..."
+    npm ci
+else
+    echo "📦 no need to update dependencies"
+fi

.husky/pre-commit

@@ -0,0 +1,13 @@
+
+# prevent commits on master
+branch="$(git rev-parse --abbrev-ref HEAD)"
+if [ "$branch" = "master" ]; then
+  echo ""
+  echo "You can't commit directly to master branch"
+  echo "please create a pull request"
+  echo ""
+  exit 1
+fi
+
+# run linters
+npx lint-staged

.lintstagedrc

@@ -0,0 +1,11 @@
+{
+    "*.js": ["eslint --fix", "prettier --write"],
+    "*.css": ["prettier --write"],
+    "*.jsx": ["prettier --write"],
+    "*.html.twig": ["twig-cs-fixer lint --fix", "myhtmlvalidate -q"],
+    "*.php": ["php-cs-fixer fix --config .php-cs-fixer.php"],
+    "Dockerfile": ["hadolint --ignore DL3002 --ignore DL3003 --ignore DL3008 --ignore DL3013 --ignore DL3016 --ignore DL3022"],
+    "*.md": ["markdownlint --fix"],
+    "*openapi.json": ["spectral lint"],
+    "*.tf": ["tflint"]
+}

.npmrc

@@ -0,0 +1 @@
+min-release-age=1

.prettierignore

@@ -0,0 +1,6 @@
+web/*
+views/*
+log/*
+node_modules/*
+coverage/*
+data/*

.prettierrc.js

@@ -0,0 +1,7 @@
+export default {
+    tabWidth: 4,
+    singleQuote: true,
+    trailingComma: 'es5',
+    printWidth: 150,
+    arrowParens: 'always',
+};

package.json

@@ -1,7 +1,7 @@
 {
     "name": "vscodestat",
     "displayName": "vscodestat",
-    "version": "1.1.151",
+    "version": "1.1.160",
     "description": "",
     "categories": [
         "Other"
@@ -17,6 +17,7 @@
     "scripts": {
         "compile": "tsc -p ./",
         "lint": "eslint src --ext ts",
+        "prepare": "husky",
         "pretest": "npm run compile && npm run lint",
         "test": "vscode-test",
         "vscode:prepublish": "npm run compile",
@@ -54,17 +55,20 @@
     "devDependencies": {
         "@types/mocha": "^10.0.10",
         "@types/node": "25.x",
-        "@types/vscode": "^1.110.0",
-        "@typescript-eslint/eslint-plugin": "^8.58.0",
-        "@typescript-eslint/parser": "^8.58.0",
+        "@types/vscode": "^1.116.0",
+        "@typescript-eslint/eslint-plugin": "^8.59.1",
+        "@typescript-eslint/parser": "^8.59.1",
         "@vscode/test-cli": "^0.0.12",
         "@vscode/test-electron": "^2.5.2",
         "eslint": "^10.1.0",
+        "husky": "^9.1.7",
+        "lint-staged": "^16.4.0",
+        "prettier": "^3.8.3",
         "ts-api-utils": "^2.5.0",
-        "typescript": "^6.0.2"
+        "typescript": "^6.0.3"
     },
     "engines": {
-        "vscode": "^1.110.0"
+        "vscode": "^1.116.0"
     },
     "icon": "icon.png",
     "extensionKind": [

todo.txt

@@ -0,0 +1,144 @@
+REVIEW DE CODE — 2026-04-26
+============================================
+
+Extension VSCode (TypeScript) qui collecte des metriques sur
+l'activite du user dans VSCode :
+- ouverture de fichier / changement d'onglet (event 'open')
+- sauvegarde de fichier (event 'save')
+- focus/blur de la fenetre (event 'focus')
+
+Envoie un POST JSON a la URL configuree (`vscodestat.url`).
+113 lignes TypeScript, version 1.1.159 (vsix 1.1.141 commit).
+
+NB : extension force-installed dans les containers vscode + vscodeluigi
+(cf vscode/todo.txt). C'est l'extension de monitoring activite dev.
+
+SECURITE
+--------
+[ ] vscodestat.url configurable user-side (CRITIQUE pour exfil)
+    src/extension.ts:14-23 : commande `setUrl` permet au user de
+    changer l'URL en runtime via `vscode.workspace.getConfiguration
+    ().update('vscodestat.url', url, ConfigurationTarget.Global)`.
+    Le user peut donc rediriger ses metriques vers son propre
+    serveur. Dans le contexte (extension force-installed pour
+    tracking employe), le user peut bypass le tracking en
+    pointant sur `https://localhost/dummy` ou similar. Attendu /
+    pas attendu ?
+    NB : entrypoint.sh dans vscode/ overwrite la URL a chaque
+    boot du container. Donc tracking restored. Mais pendant la
+    session, user peut tweak. A documenter le comportement.
+
+[ ] makeHttpRequest envoie au serveur l'event sans auth (RGPD)
+    src/extension.ts:97-118 : `fetch(url, { method: 'POST',
+    headers: ..., body: JSON.stringify(json) })`. Pas de token.
+    Cote serveur (cf monitoringserver/todo.txt), `/vscodestat` est
+    aussi sans auth => tout le monde peut envoyer des metriques.
+    Mais ici c'est cote client, le code est legitime. Ce qui est
+    discutable c'est que l'event contient :
+    - `event: 'open'`, `project: extractProjectName(filePath)`
+    Ces donnees sont des metadonnees d'activite du salarie. RGPD
+    : doit etre dans le declaration des traitements RH.
+
+[ ] extractProjectName fuite des paths potentiellement sensibles
+    src/extension.ts:73-81 :
+        const match = path.match(/\/docker\/([^/]+)/);
+        if (match) return match[1];
+    Si un user ouvre un fichier hors `/docker/X/...`, le
+    `extractProjectName` retourne null, donc `project: null`
+    envoye. Pas un leak direct, mais combine au tracking precis,
+    profile complet de l'activite hors-projet.
+
+[ ] Pas de cap sur la frequence des events
+    src/extension.ts:39-49 : `onDidChangeActiveTextEditor` =>
+    chaque alt-tab entre fichiers => 1 POST. Si user est tres
+    actif, 100+ POST par minute. Pas de debounce. Cote
+    monitoringserver, idem aucun rate-limit (cf monitoringserver/
+    todo.txt). Risque d'epuisement bande passante / spam serveur.
+
+[ ] Le user peut DISABLE l'extension volontairement
+    Standard VSCode : un user peut desactiver toute extension.
+    Le force-install au boot du container la re-active, mais
+    pendant la session, l'employe peut couper le tracking.
+    Pattern de force-tracking discutable (transparency).
+
+[ ] Pas de TLS pinning sur fetch
+    Si l'URL pointe vers HTTPS (probablement),
+    `monitoringserver.raphaelpiccolo.com`, certificat valide. OK
+    mais pas de pinning.
+
+BUGS / FRAGILITE
+----------------
+[ ] vscodestat-1.1.141.vsix commit dans le repo mais version 1.1.159
+    package.json:4 : "version": "1.1.159" mais le vsix commit est
+    1.1.141. Decalage. Si on installe le vsix, c'est l'ancienne
+    version qui est appliquee (vscode/bin/entrypoint.sh:25 :
+    `code-server --install-extension /opt/vsix/vscodestat.vsix`).
+    A rebuild + republier le vsix avec la version courante.
+
+[ ] /opt/vsix/vscodestat.vsix : binaire du dossier autre
+    Cf vscode/todo.txt. Le vsix est COPIE dans l'image vscode
+    (Dockerfile:48). Si le vsix de ce repo est modifie mais pas
+    rebuild dans vscode/, decalage permanent.
+
+[ ] event 'open' sur changement d'onglet, pas vraie ouverture
+    src/extension.ts:39 : `onDidChangeActiveTextEditor`. Fire
+    aussi sur le simple alt-tab entre 2 fichiers deja ouverts.
+    Donc l'event 'open' est mal nomme (en realite "focus de tab").
+    A renommer 'tab_focus' ou similar.
+
+[ ] event 'focus' sans event name
+    src/extension.ts:55 : `await makeHttpRequest({ focus: event.
+    focused })`. Pas de `event: 'focus'`. Cote serveur, comment
+    distinguer ? Cf monitoringserver/homeController.js:78 :
+    `eventName: req.body.name`. Donc le `focus` event ne match
+    pas la convention serveur.
+
+[ ] Pas de batching
+    Chaque event = 1 fetch. Pas de queue + flush periodique.
+    Si reseau down, perte d'events (pas de retry). A capper.
+
+[ ] makeHttpRequest catch silencieux
+    src/extension.ts:114-117 : catch + console.error. Pas de
+    retry, pas de notification user. Si serveur down, events
+    perdus.
+
+[ ] extractProjectName : path Windows hardcode au regex
+    src/extension.ts:79-80 : replace `\\` -> `/` puis match
+    `/docker/(...)/`. OK pour les conventions /root/docker, mais
+    si project hors `docker/`, retourne null. A clarifier.
+
+[ ] Pas de tests unitaires sur extractProjectName
+    Function pure, faciles a tester. Pas de tests dans src/test/
+    visible. A check.
+
+CODE MORT / POLLUTION
+---------------------
+[ ] vscodestat-1.1.141.vsix commit
+    Binaire commit dans git. A scrub si rebuild a chaque release.
+
+[ ] vscodestat.helloWorld command
+    src/extension.ts:7-10. Demo command standard de yeoman.
+    Inutile en prod. A delete.
+
+CONVENTIONS
+-----------
+[ ] Mauvaise pratique : version vsix decalee
+    1.1.141 vs 1.1.159 dans package.json.
+
+[ ] Pas de README detaille sur l'integration serveur
+    README mentionne juste "Sample url". A documenter le format
+    JSON envoye et le comportement.
+
+DECISION SUGGEREE
+-----------------
+[ ] Rebuild + republier le vsix a la version courante
+    Production decalee de 18 versions (1.1.141 vs 1.1.159).
+
+[ ] Documenter le scope RGPD du tracking
+    Si l'extension force-installed est obligatoire pour tracker
+    l'activite des employes (Thomas, Luigi), declaration RGPD
+    requise (RGPD art 13).
+
+[ ] Considerer un rate-limit cote client
+    Debounce sur onDidChangeActiveTextEditor (ex: 1s) pour
+    eviter le spam.