Oscarjaimes1710
commented
1 week ago - Se hace el ajuste de cors queda pendiente por revisión y validación.
- Github Alerts: Evaluación y Mitigación de Vulnerabilidades Críticas y Altas
Se han llevado a cabo evaluaciones exhaustivas de las vulnerabilidades clasificadas como críticas y altas en los repositorios planeacion_mid, planeacion_cliente y planeacion_crud. Las revisiones pertinentes se han realizado, implementando las correcciones necesarias y gestionando los Pull Requests (PR) viables mediante Dependabot: planeacion_cliente/security/dependabot.
A continuación, se documentan dos casos específicos en los cuales las correcciones no pudieron ser implementadas:
Caso A: Dependabot Alert #100
La corrección no pudo ser completada debido a que el ajuste requerido por Dependabot genera una advertencia indicando la necesidad de múltiples actualizaciones de dependencias. Esta situación podría desencadenar una falla catastrófica en el sistema.
Caso B: ip SSRF improper categorization in isPublic #958
No se permite ejecutar puesto que encuentra unas singularidades de seguridad sin embargo se consulta con el equipo de seguridad específicamente con Maria Fernanda Avendaño y la sugerencia es esperar a que saquen una versión actualizada con la solución a la vulnerabilidad. Se deja notificado al equipo de la vulnerabilidad para que así puedan tenerla en cuenta en la próxima actualización.
Queda pendiente la revisión y aprobación @a52290451 de los PR referentes a las vulnerabilidades de dependabot.
- Se hacen las revisiones con el SonarQube y se encuentran 396 "BUGS" pero al realizar una revisión uno a uno se encuentra que no lo son. Lo se detecta son lineas de código que no cumplen con las normas de accesibilidad web (como las WCAG), y la sugerencia o el cambio que muestra para solucionar estos bugs es añadir etiquetas como id, o scope o identificadores en las etiquetas table, th entre otras pero todas apuntan a cambios a Estos atributos que ayudan a los usuarios que utilizan tecnologías de asistencia (como lectores de pantalla).
a52290451
Se requiere realizar la corrección de fallos de seguridad y vulnerabilidades encontrados en las pruebas de carga y seguridad, de acuerdo con el informe suministrado y las observaciones descritas en el apartado técnico.
Especificaciones Técnicas
Ejemplo: https://github.com/udistrital/resoluciones_crud_v2/blob/develop/main.go#L25
Github Alerts: evaluar las Vulnerabilidades con severidad crítica y alta en https://github.com/udistrital/planeacion_cliente/security, https://github.com/udistrital/planes_crud/security
Revisar las observaciones generadas desde SonarQube: https://sonarqube.portaloas.udistrital.edu.co/dashboard?id=udistrital%3Aplaneacion_cliente https://sonarqube.portaloas.udistrital.edu.co/dashboard?id=udistrital%3Aplaneacion_mid
SonarQube
ejemplo: en el cliente, este archivo está vacío: src/app/app.component.scss
hay muchas que salen por los nombres de las variables, esos podríamos dejarlos para revisar después o no tenerlos en cuenta en el reporte, porque desde Sonar espera el nombre como camel case: nombreVariable y están definidas como nombre_variable
Sub Tareas
Criterios de aceptación
Requerimientos
No aplica
Definition of Ready - DoR
Definition of Done - DoD - Desarrollo