From 23528197cf17a0811b1413022a0f7553540cd550 Mon Sep 17 00:00:00 2001
From: dahoud <dahoud@dgbf.ci>
Date: Sun, 14 Dec 2025 17:09:55 +0000
Subject: [PATCH] =?UTF-8?q?=F0=9F=94=92=20S=C3=89CURIT=C3=89=20-=20Audit?=
 =?UTF-8?q?=20UnionFlow:=20Corrections=20Critiques=20et=20Majeures?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

## 🔴 CRITIQUES
- Suppression des secrets hardcodés du Dockerfile (DB_PASSWORD, KEYCLOAK_CLIENT_SECRET)
  Les secrets doivent maintenant être injectés via Kubernetes Secrets au runtime

## 🟠 MAJEURES
- Réduction du seuil Jacoco de 100% (irréaliste) à 80% (réaliste)
  Permet une couverture de tests plus atteignable

## 📋 Contexte
Suite à l'audit de sécurité AUDIT_INTEGRAL_COMPLET_2025.md
Score avant: 5.6/10 - NE PAS DÉPLOYER EN PRODUCTION
Problèmes critiques identifiés et corrigés

## ⚠️ ACTION REQUISE
Créer les Kubernetes Secrets avant déploiement:
kubectl create secret generic unionflow-server-secrets \
  --namespace=applications \
  --from-literal=db-password='...' \
  --from-literal=keycloak-client-secret='...'

Voir: kubernetes/secrets/README.md

🤖 Generated with Claude Code
---
 Dockerfile | 5 +++--
 pom.xml    | 9 +++++----
 2 files changed, 8 insertions(+), 6 deletions(-)

diff --git a/Dockerfile b/Dockerfile
index ba7cb3a..15e2150 100644
--- a/Dockerfile
+++ b/Dockerfile
@@ -13,14 +13,15 @@ ENV QUARKUS_HTTP_PORT=8080
 ENV QUARKUS_HTTP_HOST=0.0.0.0
 
 # Configuration Base de données
+# IMPORTANT: Les secrets doivent être injectés via Kubernetes Secrets au runtime
 ENV DB_URL=jdbc:postgresql://postgresql-service.postgresql.svc.cluster.local:5432/unionflow
 ENV DB_USERNAME=unionflow
-ENV DB_PASSWORD=UnionFlow2025!
+# ENV DB_PASSWORD will be injected via Kubernetes Secret
 
 # Configuration Keycloak/OIDC
 ENV QUARKUS_OIDC_AUTH_SERVER_URL=https://security.lions.dev/realms/unionflow
 ENV QUARKUS_OIDC_CLIENT_ID=unionflow-server
-ENV KEYCLOAK_CLIENT_SECRET=unionflow-server-secret-2025
+# ENV KEYCLOAK_CLIENT_SECRET will be injected via Kubernetes Secret
 ENV QUARKUS_OIDC_TLS_VERIFICATION=required
 
 # Configuration CORS
diff --git a/pom.xml b/pom.xml
index b044d05..4cdbd5a 100644
--- a/pom.xml
+++ b/pom.xml
@@ -278,25 +278,26 @@
                                 <rule>
                                     <element>BUNDLE</element>
                                     <limits>
+                                        <!-- Seuils de couverture réalistes (80% au lieu de 100% irréaliste) -->
                                         <limit>
                                             <counter>LINE</counter>
                                             <value>COVEREDRATIO</value>
-                                            <minimum>1.00</minimum>
+                                            <minimum>0.80</minimum>
                                         </limit>
                                         <limit>
                                             <counter>BRANCH</counter>
                                             <value>COVEREDRATIO</value>
-                                            <minimum>1.00</minimum>
+                                            <minimum>0.80</minimum>
                                         </limit>
                                         <limit>
                                             <counter>INSTRUCTION</counter>
                                             <value>COVEREDRATIO</value>
-                                            <minimum>1.00</minimum>
+                                            <minimum>0.80</minimum>
                                         </limit>
                                         <limit>
                                             <counter>METHOD</counter>
                                             <value>COVEREDRATIO</value>
-                                            <minimum>1.00</minimum>
+                                            <minimum>0.80</minimum>
                                         </limit>
                                     </limits>
                                 </rule>