docs(security): go-live трекер — все блокеры B1-B6 сняты (GO), B2 anon на проде; gitignore lychee/walk артефактов
This commit is contained in:
@@ -49,6 +49,8 @@ gitleaks-report.json
|
||||
|
||||
# ward (security-сканер) — отчёты в корне
|
||||
ward-report.*
|
||||
lychee-links-report.txt
|
||||
walk-*.png
|
||||
|
||||
# ── IDE / редакторы ─────────────────────────────────────────────────────────
|
||||
.vscode/*
|
||||
|
||||
@@ -8,12 +8,12 @@
|
||||
|
||||
## 🔴 Блокеры безопасности (мешают выходу в интернет)
|
||||
|
||||
> **Живые блокеры на 17.06: только B2.** B1 закрыт (`d1976c9c`); B3/B6 закрыты на проде 17.06 (боевой `.env`: `APP_DEBUG=false`, `APP_ENV=production`, `SAAS_ADMIN_TEST_BYPASS=false` + `config:cache`); B4/B5 сняты проверкой кода — см. «ПОПРАВКА» ниже.
|
||||
> **Живых блокеров нет — все сняты.** B1 (`d1976c9c`); B2 anon-маски применены на прод (`8bb72b34`); B3/B6 прод-`.env` (`APP_DEBUG=false`, `APP_ENV=production`, `SAAS_ADMIN_TEST_BYPASS=false` + `config:cache`); B4/B5 — код. **Security go-live: GO** (CSP пока Report-Only; 152-ФЗ — ручное).
|
||||
|
||||
| # | Пункт | Суть | Зона | Коллизия |
|
||||
|---|---|---|---|---|
|
||||
| B1 | **F-P1 / 152-ФЗ retention** | ✅ ЗАКРЫТО (`d1976c9c`) — Телефоны удалённых лидов не вычищаются (нет анонимизации/hard-delete после soft-delete). Подтверждён фактом по `Deal`-модели + схеме. | `app/Console/Commands` + миграция (бэкенд/БД) | низкая (бэкенд) |
|
||||
| B2 | **pg_anonymizer не установлен** | `pg_dump` отдаёт ПДн открыто. Расширение `anon` — фаза 3, может быть не поставлено. Проверить: `SELECT extname FROM pg_extension WHERE extname='anon';` | БД/инфра + `docs/security` | нет |
|
||||
| B2 | **pg_anonymizer** | ✅ ЗАКРЫТО (17.06, прод) — anon стоял, но было 0 правил маскирования; применены SECURITY LABEL на ПДн-колонки (`db/anon_masking_labels.sql`, `8bb72b34`) → `pg_dump` под masked-ролью маскирует. | БД/инфра + `docs/security` | нет |
|
||||
| B3 | **SAAS_ADMIN_TEST_BYPASS** | ✅ ЗАКРЫТО (17.06, прод) — в боевом `.env` выставлено `SAAS_ADMIN_TEST_BYPASS=false` + `php artisan config:cache`; `/api/admin/**` снова только за middleware `saas-admin`. Бэкап `.env.bak-2026-06-17-b3`. | `.env.production` / config | нет |
|
||||
| B4 | **SSRF через `/api/webhooks/test`** | ✅ ЗАКРЫТО (код: `WebhookUrlGuard`) — Нет фильтрации URL → запрос на metadata YC `169.254.169.254` → IAM-токен. | бэкенд (контроллер/сервис) | низкая |
|
||||
| B5 | **Открытые без auth ручки** | ✅ ЗАКРЫТО (код: `web.php` auth:sanctum) — `/api/dashboard/summary` (E18), `/api/managers` + `/api/lead-statuses` (E9). | `routes/api.php` + middleware (бэкенд) | низкая |
|
||||
|
||||
Reference in New Issue
Block a user