REVIEW DE CODE — 2026-04-26 ============================================ Extension VSCode (TypeScript) qui collecte des metriques sur l'activite du user dans VSCode : - ouverture de fichier / changement d'onglet (event 'open') - sauvegarde de fichier (event 'save') - focus/blur de la fenetre (event 'focus') Envoie un POST JSON a la URL configuree (`vscodestat.url`). 113 lignes TypeScript, version 1.1.159 (vsix 1.1.141 commit). NB : extension force-installed dans les containers vscode + vscodeluigi (cf vscode/todo.txt). C'est l'extension de monitoring activite dev. SECURITE -------- [ ] vscodestat.url configurable user-side (CRITIQUE pour exfil) src/extension.ts:14-23 : commande `setUrl` permet au user de changer l'URL en runtime via `vscode.workspace.getConfiguration ().update('vscodestat.url', url, ConfigurationTarget.Global)`. Le user peut donc rediriger ses metriques vers son propre serveur. Dans le contexte (extension force-installed pour tracking employe), le user peut bypass le tracking en pointant sur `https://localhost/dummy` ou similar. Attendu / pas attendu ? NB : entrypoint.sh dans vscode/ overwrite la URL a chaque boot du container. Donc tracking restored. Mais pendant la session, user peut tweak. A documenter le comportement. [ ] makeHttpRequest envoie au serveur l'event sans auth (RGPD) src/extension.ts:97-118 : `fetch(url, { method: 'POST', headers: ..., body: JSON.stringify(json) })`. Pas de token. Cote serveur (cf monitoringserver/todo.txt), `/vscodestat` est aussi sans auth => tout le monde peut envoyer des metriques. Mais ici c'est cote client, le code est legitime. Ce qui est discutable c'est que l'event contient : - `event: 'open'`, `project: extractProjectName(filePath)` Ces donnees sont des metadonnees d'activite du salarie. RGPD : doit etre dans le declaration des traitements RH. [ ] extractProjectName fuite des paths potentiellement sensibles src/extension.ts:73-81 : const match = path.match(/\/docker\/([^/]+)/); if (match) return match[1]; Si un user ouvre un fichier hors `/docker/X/...`, le `extractProjectName` retourne null, donc `project: null` envoye. Pas un leak direct, mais combine au tracking precis, profile complet de l'activite hors-projet. [ ] Pas de cap sur la frequence des events src/extension.ts:39-49 : `onDidChangeActiveTextEditor` => chaque alt-tab entre fichiers => 1 POST. Si user est tres actif, 100+ POST par minute. Pas de debounce. Cote monitoringserver, idem aucun rate-limit (cf monitoringserver/ todo.txt). Risque d'epuisement bande passante / spam serveur. [ ] Le user peut DISABLE l'extension volontairement Standard VSCode : un user peut desactiver toute extension. Le force-install au boot du container la re-active, mais pendant la session, l'employe peut couper le tracking. Pattern de force-tracking discutable (transparency). [ ] Pas de TLS pinning sur fetch Si l'URL pointe vers HTTPS (probablement), `monitoringserver.raphaelpiccolo.com`, certificat valide. OK mais pas de pinning. BUGS / FRAGILITE ---------------- [ ] vscodestat-1.1.141.vsix commit dans le repo mais version 1.1.159 package.json:4 : "version": "1.1.159" mais le vsix commit est 1.1.141. Decalage. Si on installe le vsix, c'est l'ancienne version qui est appliquee (vscode/bin/entrypoint.sh:25 : `code-server --install-extension /opt/vsix/vscodestat.vsix`). A rebuild + republier le vsix avec la version courante. [ ] /opt/vsix/vscodestat.vsix : binaire du dossier autre Cf vscode/todo.txt. Le vsix est COPIE dans l'image vscode (Dockerfile:48). Si le vsix de ce repo est modifie mais pas rebuild dans vscode/, decalage permanent. [ ] event 'open' sur changement d'onglet, pas vraie ouverture src/extension.ts:39 : `onDidChangeActiveTextEditor`. Fire aussi sur le simple alt-tab entre 2 fichiers deja ouverts. Donc l'event 'open' est mal nomme (en realite "focus de tab"). A renommer 'tab_focus' ou similar. [ ] event 'focus' sans event name src/extension.ts:55 : `await makeHttpRequest({ focus: event. focused })`. Pas de `event: 'focus'`. Cote serveur, comment distinguer ? Cf monitoringserver/homeController.js:78 : `eventName: req.body.name`. Donc le `focus` event ne match pas la convention serveur. [ ] Pas de batching Chaque event = 1 fetch. Pas de queue + flush periodique. Si reseau down, perte d'events (pas de retry). A capper. [ ] makeHttpRequest catch silencieux src/extension.ts:114-117 : catch + console.error. Pas de retry, pas de notification user. Si serveur down, events perdus. [ ] extractProjectName : path Windows hardcode au regex src/extension.ts:79-80 : replace `\\` -> `/` puis match `/docker/(...)/`. OK pour les conventions /root/docker, mais si project hors `docker/`, retourne null. A clarifier. [ ] Pas de tests unitaires sur extractProjectName Function pure, faciles a tester. Pas de tests dans src/test/ visible. A check. CODE MORT / POLLUTION --------------------- [ ] vscodestat-1.1.141.vsix commit Binaire commit dans git. A scrub si rebuild a chaque release. [ ] vscodestat.helloWorld command src/extension.ts:7-10. Demo command standard de yeoman. Inutile en prod. A delete. CONVENTIONS ----------- [ ] Mauvaise pratique : version vsix decalee 1.1.141 vs 1.1.159 dans package.json. [ ] Pas de README detaille sur l'integration serveur README mentionne juste "Sample url". A documenter le format JSON envoye et le comportement. DECISION SUGGEREE ----------------- [ ] Rebuild + republier le vsix a la version courante Production decalee de 18 versions (1.1.141 vs 1.1.159). [ ] Documenter le scope RGPD du tracking Si l'extension force-installed est obligatoire pour tracker l'activite des employes (Thomas, Luigi), declaration RGPD requise (RGPD art 13). [ ] Considerer un rate-limit cote client Debounce sur onDidChangeActiveTextEditor (ex: 1s) pour eviter le spam.