Open a52290451 opened 2 weeks ago
Se han llevado a cabo evaluaciones exhaustivas de las vulnerabilidades clasificadas como críticas y altas en los repositorios planeacion_mid, planeacion_cliente y planeacion_crud. Las revisiones pertinentes se han realizado, implementando las correcciones necesarias y gestionando los Pull Requests (PR) viables mediante Dependabot: planeacion_cliente/security/dependabot.
A continuación, se documentan dos casos específicos en los cuales las correcciones no pudieron ser implementadas:
Caso A: Dependabot Alert #100
La corrección no pudo ser completada debido a que el ajuste requerido por Dependabot genera una advertencia indicando la necesidad de múltiples actualizaciones de dependencias. Esta situación podría desencadenar una falla catastrófica en el sistema.
Caso B: ip SSRF improper categorization in isPublic #958
No se permite ejecutar puesto que encuentra unas singularidades de seguridad sin embargo se consulta con el equipo de seguridad específicamente con Maria Fernanda Avendaño y la sugerencia es esperar a que saquen una versión actualizada con la solución a la vulnerabilidad. Se deja notificado al equipo de la vulnerabilidad para que así puedan tenerla en cuenta en la próxima actualización.
Queda pendiente la revisión y aprobación @a52290451 de los PR referentes a las vulnerabilidades de dependabot.
queda pendiente carga de correcciones en planeacion_cliente
@Oscarjaimes1710 por favor documentar hallazgos finales de issue para su finalización.
Se requiere realizar la corrección de fallos de seguridad y vulnerabilidades encontrados en las pruebas de carga y seguridad, de acuerdo con el informe suministrado y las observaciones descritas en el apartado técnico.
Especificaciones Técnicas
Ejemplo: https://github.com/udistrital/resoluciones_crud_v2/blob/develop/main.go#L25
Github Alerts: evaluar las Vulnerabilidades con severidad crítica y alta en https://github.com/udistrital/planeacion_cliente/security, https://github.com/udistrital/planes_crud/security
Revisar las observaciones generadas desde SonarQube: https://sonarqube.portaloas.udistrital.edu.co/dashboard?id=udistrital%3Aplaneacion_cliente https://sonarqube.portaloas.udistrital.edu.co/dashboard?id=udistrital%3Aplaneacion_mid
SonarQube
ejemplo: en el cliente, este archivo está vacío: src/app/app.component.scss
hay muchas que salen por los nombres de las variables, esos podríamos dejarlos para revisar después o no tenerlos en cuenta en el reporte, porque desde Sonar espera el nombre como camel case: nombreVariable y están definidas como nombre_variable
Sub Tareas
Criterios de aceptación
Requerimientos
No aplica
Definition of Ready - DoR
Definition of Done - DoD - Desarrollo