v1.0 - Version stable: multi-PC, détection UI-DETR-1, 3 modes exécution
- Frontend v4 accessible sur réseau local (192.168.1.40) - Ports ouverts: 3002 (frontend), 5001 (backend), 5004 (dashboard) - Ollama GPU fonctionnel - Self-healing interactif - Dashboard confiance Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
This commit is contained in:
Dom
228
FICHE_23_API_SECURITY_GOVERNANCE_COMPLETE.md
Normal file
228
FICHE_23_API_SECURITY_GOVERNANCE_COMPLETE.md
Normal file
@@ -0,0 +1,228 @@
|
||||
és sécurisux endpointsuveas no sur le équipesdesFormation s
|
||||
- s existantrviceec les seon avtitégrasts d'inion
|
||||
- Teroductnnement p d'enviroariablestion des vConfiguraest
|
||||
- nnement de ten envirot iemenplo**
|
||||
- Déecommandées: étapes rnes**Prochai
|
||||
---
|
||||
|
||||
on V3.
|
||||
e RPA Visiécosystèms l'te dan complè intégrationbuste et unerité ro une sécution avecuca prodrêt pour l pme est
|
||||
|
||||
Le systè d'urgencer modes* pouion*tegrat Switch Inafetyés
|
||||
7. ✅ **Ss intégrécorateure** avec dwarsk Middle
|
||||
6. ✅ **Flas sécuriséesceendanec dép avMiddleware***FastAPI ✅ *uré
|
||||
5.ructt JSONL st* en formadit Logging**Au
|
||||
4. ✅ * algorithmetoken buck tecavLimiting** **Rate . ✅ upport
|
||||
3 et proxy s avec CIDR** Allowlistn
|
||||
2. ✅ **IPxpiratios et e rôle avecon**Authenticati ✅ **Token 1.
|
||||
|
||||
s:fonctionnelsants compoec tous lesMENTÉE** avLÉT IMPÈTEMENest COMPLance vern GoI Security &he #23 - AP
|
||||
|
||||
**Ficsionnclu
|
||||
|
||||
## Colocalhostnt avec IPs loppemeéve✅ Mode dcurisée
|
||||
- ut séion par défa✅ ConfiguratastAPI)
|
||||
- lask/F (Fnels option ✅ Importst
|
||||
-ème Existan# Systente
|
||||
|
||||
## transparontiigras
|
||||
- ✅ Mng changekirea ✅ Pas de bxistant
|
||||
-in-Token eX-Admt ✅ Supporide)
|
||||
- to-Heal Hybr2 (Auche #2# Fiité
|
||||
|
||||
##atibilRétrocomp
|
||||
|
||||
## ritée sécuviolations dles r veille*: Surring*nitoe
|
||||
5. **Mohivagl'arcet otation urer la r: Config**
|
||||
4. **Logsnduege attea charter selon l**: Ajus Limits. **Ratestructure
|
||||
3on l'infrahe selncblaer la liste Configur
|
||||
2. **IPs**:)caractèress (32+ rets fort secer desis: Util**Tokens**iement
|
||||
1. Déplotions mmanda
|
||||
### Reconces
|
||||
pour urgeitchon kill-sw✅ Intégratiormation
|
||||
- nfns fuite d'ierreurs san des Gestioc.)
|
||||
- ✅ s, ettion, X-Frame-OpCSPécurité (ders de sHea✅ NL
|
||||
- en JSOl complett trai- ✅ Audi les abus
|
||||
e contrestimiting robu✅ Rate l- ec CIDR
|
||||
IPs avdes on stricte Validati
|
||||
- ✅ 56)MAC-SHA2sécurisés (Hnt aphiquemecryptogrs - ✅ Tokenctées
|
||||
gences Respe# Exiuction
|
||||
|
||||
##té Prod# Sécurimum
|
||||
|
||||
#ONLY minien READ_Requiert tokytics/*`: /anal `/apion IP
|
||||
-validativalide + en tokiert Requs/upload`:session
|
||||
- `/api/ngitiate limlide + rvaken uiert to: Req/execute`/workflowsMIN
|
||||
- `/api token AD: Requiert/admin/*`- `/apiés
|
||||
ints Protég
|
||||
|
||||
### Endposessionssé des écurid s/`): Uploa`agent_v0gent V0** (act
|
||||
- ✅ **AFrontend Relask + Backend Fbuilder/`):w_l_workfloisuar** (`vdelow Buill Workfisuaask
|
||||
- ✅ **Vrface Fl): Inteoard/`_dashb (`webboard**ash ✅ **Web D
|
||||
-ec FastAPIEST av`): API R`server/* ( **Server*
|
||||
- ✅atiblesmpices Co# Serv V3
|
||||
|
||||
##ionvec RPA Visgration a## Inté`
|
||||
|
||||
py
|
||||
``curity.e23_api_sechst_fihon3 tees)
|
||||
pyteurons mintie correcessitomplet (néc
|
||||
|
||||
# Test ce.pysimplst_fiche23_
|
||||
python3 te rapideTestsh
|
||||
# `ba
|
||||
``elleon Manu# Validatis)
|
||||
|
||||
##ssaireéceineures norrections m(avec cplets Tests com`:y.pyi_securitiche23_ap_fst
|
||||
- ✅ `tenelsase fonctionTests de bimple.py`: 23_sst_fichete✅ `és
|
||||
- ément# Tests Impln
|
||||
|
||||
##alidatio Tests et V```
|
||||
|
||||
##y.com"
|
||||
panadmin@comCT="TACY_CONGEN2"
|
||||
EMER1,featuretureATURES="feaED_FEh
|
||||
DISABLwitcill_so_safe|kemrmal|dnormal" # E="noSAFETY_MODtch
|
||||
ety Swie"
|
||||
|
||||
# SafIVE="truSH_SENSIT_HAITUD"
|
||||
A10S="LOG_MAX_FILE
|
||||
AUDIT_# 10MB485760" 10_MAX_SIZE="DIT_LOG
|
||||
AU"logs/auditT_LOG_DIR="
|
||||
AUDIingudit Logg5"
|
||||
|
||||
# AIN="30:MIT_API_ADM0"
|
||||
RATE_LI120:2ORKFLOWS="LIMIT_API_W
|
||||
RATE_="10"_LIMIT_BURSTEFAULT_RATE="60"
|
||||
DIT_RPMULT_RATE_LIMting
|
||||
DEFA# Rate Limi"true"
|
||||
|
||||
OCKED_IPS=
|
||||
LOG_BLue""tr_HEADERS=PROXYE_1"
|
||||
ENABL0.6.0.1,10.0.XIES="172.1TED_PRO
|
||||
TRUS0/8"0.0.0.0/24,1.168.1.0.0.1,192IPS="127.ALLOWED_st
|
||||
li
|
||||
# IP Allow"24"
|
||||
IRY_HOURS=
|
||||
TOKEN_EXPébilitatiRétrocomp" # -admin-tokencyOKEN="legaADMIN_Token-1"
|
||||
X_"readonly-tS=D_ONLY_TOKEN2"
|
||||
REAn-in-tokeadm-token-1,dminN_TOKENS="aDMI
|
||||
Auction"odpry-change-in-cret-keY="your-seECRET_KEns
|
||||
TOKEN_Sash
|
||||
# Tokement
|
||||
```b d'Environneblesariate
|
||||
|
||||
### Vmplèon Corati Configu
|
||||
##ence
|
||||
ions d'urges activatogging d
|
||||
- ✅ Lensibless stionnalitéque des fonctiutomactivation a
|
||||
- ✅ Désa KILL_SWITCHEMO_SAFE,AL, Des NORMs modespect dey`
|
||||
- ✅ R.pwitchty_ssafere/system/avec `coplète comIntégration ✅ on
|
||||
-ratintegwitch I Sty## 7. Safe``
|
||||
|
||||
#
|
||||
`ig": {...}}turn {"conf
|
||||
rein_config():def adm_admin
|
||||
k_require")
|
||||
@flasnfigin/cooute("/admpp.r)
|
||||
|
||||
@ay(applask_securit_)
|
||||
init_fme_nask(__Fla
|
||||
app = in
|
||||
_require_admlaskurity, fflask_sect_rt iniy impoecurit.flask_s.securitycore
|
||||
from *
|
||||
```python**Usage:*ques
|
||||
|
||||
automati sécurité Headers de
|
||||
- ✅ és personnalisres d'erreurionnai
|
||||
- ✅ Gestinfo`/token/tyecuri/sstatus`, ` `/security/s:ires utilitaoutelet
|
||||
- ✅ Rsetup compr )` pousecurity(k_init_flas `- ✅ Fonctionoken`
|
||||
y_tk_require_anflasdmin`, `@sk_require_as: `@fla✅ Décorateur
|
||||
- equestuest/after_rfore_req bek aveceware Flas Middlpy`)
|
||||
- ✅y.uritflask_secre/security/(`coeware Middlity Flask Secur`
|
||||
|
||||
### 6.}
|
||||
``rs": [...]turn {"use reoken)):
|
||||
e_admin_t(requir Depends =olerole: TokenRer_et_users(us def g
|
||||
async")rs/use"/admin
|
||||
@app.get(
|
||||
_tokendminire_at requity imporapi_secururity.faste.secfrom corhon
|
||||
e:**
|
||||
```pyt
|
||||
|
||||
**Usag Switchon Safety✅ Intégrati
|
||||
- riésappropP s HTTc codeeurs avetion des err
|
||||
- ✅ Ges)ons, etc.Frame-Optié (CSP, X-e sécurit ders ✅ Headateur
|
||||
-le utilis rôque duomatin autExtractio- ✅ oken`
|
||||
_any_t`require`, _admin_tokenrequi: `rendances Dépe- ✅ons
|
||||
ificatiles véroutes plet avec tomre cddlewa✅ Mity.py`)
|
||||
- tapi_securiurity/fasecare (`core/siddlew Security M5. FastAPI
|
||||
|
||||
### e tokensons dValidatiTION`: EN_VALIDATOKsées
|
||||
- `non autori IPs CKED`:P_BLO
|
||||
- `Iimites de lssementsEEDED`: DépaIMIT_EXC
|
||||
- `RATE_Ltéesations détecTION`: ViolIOLAURITY_V
|
||||
- `SECtus codesc stadpoints aveccès aux en`: AAPI_ACCESS
|
||||
- `échouéessies/ons réusonnexi CTION`:ENTICA`AUTH*
|
||||
- ts:*d'événemen*Types UTC
|
||||
|
||||
*01SO 86ps Itams
|
||||
- ✅ Timesplètelles comes contextuetadonné
|
||||
- ✅ Mé etc.violation,security_cess, , api_acticationts: authens d'événemen✅ Type- sibles
|
||||
nées senes donhage d
|
||||
- ✅ Haclogstique des ion automaotatacile
|
||||
- ✅ Ring fé pour parsNL structurormat JSO- ✅ Flog.py`)
|
||||
it_security/aud (`core/SONLing Jgg. Audit Lo
|
||||
### 4ue
|
||||
```
|
||||
écifiq sp # endpoint20:20"FLOWS="1I_WORK_LIMIT_AP
|
||||
RATE"10"_BURST=RATE_LIMITLT_0"
|
||||
DEFAU"6MIT_RPM=_RATE_LIULT
|
||||
DEFAsh**
|
||||
```ban:tio**Configurary_after
|
||||
|
||||
c retveeded` aitExceRateLimn `✅ Exceptiofs
|
||||
- nactikets ides bucomatique age auttoy
|
||||
- ✅ NetteLimit-*)X-Ratifs (informaTTP Headers Hcity)
|
||||
- ✅burst capaible (RPM, flexration gufionint
|
||||
- ✅ Ceur, endpo utilisatr IP,ion paimitatue
|
||||
- ✅ Lautomatiqc refill veen bucket aithme tok)
|
||||
- ✅ Algor.py`rate_limitery//securitore(`cn Bucket Tokeng avecate Limiti
|
||||
|
||||
### 3. R
|
||||
```"true"XY_HEADERS=E_PRO1"
|
||||
ENABL.0.0.10172.16.0.1,_PROXIES="ED8"
|
||||
TRUST0/0/24,10.0.0.1.1,192.168..0.0."127S=ED_IPash
|
||||
ALLOWn:**
|
||||
```bguratioonfi
|
||||
**Cdéfaut
|
||||
r avec IPs pament développe Mode
|
||||
- ✅oquéesPs bldes ILogging ✅ ement
|
||||
-ronnenvid'variables uration par fig
|
||||
- ✅ ConX-Real-IPFor, rwarded-c X-Fofiance avee con ✅ Proxies d24)
|
||||
-92.168.1.0/IDR (ex: 1ges C- ✅ Pla et IPv6
|
||||
t IPv4 ✅ Supporst.py`)
|
||||
-ip_allowlie/security/corCIDR (`avec Allowlist ### 2. IPging
|
||||
|
||||
bug()` pour denfo_safeget_token_iace `Interf`
|
||||
- rorlidationErTokenVaavec `es erreurs dstion
|
||||
- Gein-Tokendm-AToken, Xr, X-API-Bearerization port Autho- Supature`
|
||||
ign|scenonres_at||expirole|user_id: `ec payloadés av sign Tokens**
|
||||
-s:clés nnalitéionct**Fo
|
||||
|
||||
P multiplesers HTTeadn depuis h ✅ Extractioste
|
||||
-que robuptographition cryValida
|
||||
- ✅ e #22) (fichmin-Token avec X-AdtéiliompatibRétroc ✅ okens
|
||||
-es tfigurable dn conpiratio ✅ ExLY
|
||||
-t READ_ONes ADMIN ert des rôlppo- ✅ SuHA256
|
||||
ec HMAC-Savcurisés s séion de tokenrat)
|
||||
- ✅ Génépy`pi_tokens.y/asecuriton (`core/catised Authenti 1. Token-baentés
|
||||
|
||||
###pléms Immposant
|
||||
|
||||
## Coudite débit et alimitation dtion, orisa, autationntificuthemplet avec aPI coité Ae sécurstème djectif**: Sy**Obre 2025
|
||||
mb*: 24 déce
|
||||
|
||||
**Date*EPLÉMENTÉtatut: ✅ IMLETE
|
||||
|
||||
## S COMPernance - Gov Security & APIe #23 -ch# Fi
|
||||
Reference in New Issue
Block a user