Dashlord - MAJ de module de protection

[LauraAMIRIFabrique]

Demandé en stand up par les équipes OPS

[LauraAMIRIFabrique]

S'appuyer sur Igor pour traiter le point

[LauraAMIRIFabrique]

https://dashlord-full.fabrique.social.gouv.fr/url/maisondelautisme-fabrique-social-gouv-fr/

[LauraAMIRIFabrique]

Quelques info techniques partagées par Igor le 17/03 :

nom de domaine maisondelautisme.gouv.fr récupéré certificats maisondelautisme.gouv.fr et strapi.maisondelautisme.gouv.fr en cours d'achat Pour vous aider à suivre les consommations du produit, j'ai commencé la mise en place d'un tableau de bord - Maison de l'autisme

J'ai ajouté les composants web et strapi à dashlord. L'outil vous permet d'avoir une visualisation de l'état du site sur différents aspects. Vous aurez normalement le premier rapport la semaine prochaine. Avant l'ouverture du site les éléments de sécurité devraient être le plus propre possible. Les points à vérifier / corriger sont :

header HTTP dependance à jour vulnérabilités dans les images de containers OWASP @paulsouche :+1: a merge une PR Implémentation du HPA sur le produit #178

reste à déployer sur la PROD Cette configuration permettra une meilleure gestion de la charge et utilisation des ressources

[LauraAMIRIFabrique]

Suite discussion entre Paul, Julien, Lilian & Igor, on garde comme cela pour le moment. Un autre ticket visera à remplacer Tarte au citron par Orejime a posteriori, ce qui devrait améliorer la note.

[LauraAMIRIFabrique]

• http-cache-semantics ==> faux positif car c'est une dépendance de dev
• webpack ==> fixé
• request ==> on peut rien y faire malheureusement
• Content Security Policy (CSP) Header Not Set ==> le header est set mais Tarte au citron pose probleme, cf commentaire précédent pour la résolution
• Missing Anti-clickjacking Header ==> à investiguer

[LauraAMIRIFabrique]

A remouliner lors de la sortie du site

[LauraAMIRIFabrique]

Cf stats dashloard actualisée suite au lancement de la V1 : https://dashlord-full.fabrique.social.gouv.fr/url/maisondelautisme-gouv-fr/

Le reste à faire sur ce ticket : 1/ Ajouter une page de stats et l'indexer sous : https://maisondelautisme.gouv.fr/stats (à dynamiser) => je fais un ticket dédié 2/ Corriger les alertes de sécurité Mozilla (CSP et XFO) 3/ Corriger les alertes de sécurité Dependabot

[LauraAMIRIFabrique]

1/ Ticket créé #266 2/ CSP : corrigé via l'implémentation bandeau cookies DSFR XFO : c'est implémenté, on ne comprend pas pourquoi ça nous dit que non ==> voir avec Julien 3/ alertes de sécurité Dependabot = dépendance strapi, ce n'est pas solvable

[LauraAMIRIFabrique]

4/ Qualimétrie Sonar Cloud : des résultats sont sortis sur l'indicateur CodeSmells ; pouvons-nous faire quelque chose pour améliorer ce score ?

[LauraAMIRIFabrique]

En attente de voir le passage en prod puis l'actualisation des stats de Dashlord pour recetter et cloturer le ticket

[SocialGroovyBot]

:tada: This issue has been resolved in version 1.15.0 :tada:

The release is available on GitHub release

Your semantic-release bot :package::rocket:

[LauraAMIRIFabrique]

1/ CSP - unsafe inline => dépendant de NEXT, on ne peut pas faire plus. https://github.com/vercel/next.js/issues/43743 2/ Request ==> dépendant de STRAPI, fonctionnalité qu'on n'utile pas, on ne peut pas faire plus. 3/ Codesmells ==> à faire pour certains codes remontés. Ticket dédié à créer.

[LauraAMIRIFabrique]

Ticket créé pour Codesmells #285 ; je passe ce présent ticket en done