RubyGems - vert-core - Versions diffs - 1.0.1 → 1.0.2 - Mend

vert-core 1.0.1 → 1.0.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

checksums.yaml +4 -4
data/README.md +6 -0
data/SECURITY_AND_QUALITY_AUDIT.md +98 -0
data/lib/vert/authorization/permission_resolver.rb +4 -1
data/lib/vert/configuration.rb +1 -0
data/lib/vert/version.rb +1 -1
metadata +2 -1

checksums.yaml CHANGED Viewed

@@ -1,7 +1,7 @@
 ---
 SHA256:
-  metadata.gz: 3aa9021ca1d0ff2ab76b8b4fd026b939a0d44baebb72e5c9b8da18f8d5b9980e
-  data.tar.gz: d9ee8170d903c549fe6364937ea5354d661065edc37a1e2ebfb641a1010fe1db
+  metadata.gz: 3cd14af74495d17174f61ed390691b90f01b5897ffc368e804cc6155ffc7e70d
+  data.tar.gz: 0fdad12a722f1f876349b3a1f93cef84a1307a34fb96f2587ab429d0b6d4320f
 SHA512:
-  metadata.gz: 022de5e26283b3bbe93b8398b16dd476523be37a46e6272967fde2306cb8f8d8568d808fe6bfa4f97ef3913446bf7a188fa81a9efa66c9641d1b762c982015b7
-  data.tar.gz: 02aa04cef9c9d94381199d6f1a152b5f6e635a743655dc6f628664cd729ea6b543b6c9a70a96d8341ce88fab29acb6cce7ce5e03dcec35bc41fdff7f77ad4049
+  metadata.gz: ca0ffeea71830f7f2f26028bd4b8bf269ed7d15138f7971846c72d15bb8b70ef9dfedc6afa118e98f7ecbbe63ff1dc8bdf15782836ffb62b216086e87006772d
+  data.tar.gz: 8427a308b31890c81df7cc7bcbd2ba7a867e8067bede7e45ad5e16c19f6880d9a3f27be033863467ad960dc98e901708c27b86277d6d7b65d79ef9cdda538d9b

data/README.md CHANGED Viewed

@@ -121,6 +121,12 @@ class MyJob < ApplicationJob
 end
 ```
+## Produção e segurança
+- Defina sempre via **variáveis de ambiente** em produção: `RABBITMQ_URL`, `DOCUMENT_SERVICE_URL`, `REDIS_URL`. Os valores padrão (guest/localhost) são apenas para desenvolvimento.
+- Serviços que publicam mensagens nas filas consumidas com `Vert::Rls::ConsumerContext` podem definir o contexto (tenant_id, user_id) via headers; garanta que apenas serviços confiáveis publiquem nessas filas.
+- Para mais detalhes, veja `SECURITY_AND_QUALITY_AUDIT.md` no repositório.
 ## Licença
 MIT.

data/SECURITY_AND_QUALITY_AUDIT.md ADDED Viewed

@@ -0,0 +1,98 @@
+# Auditoria de Qualidade e Segurança — Gem vert-core
+**Data:** 2025-03
+**Escopo:** `services/00-gems/vert` (publicada no RubyGems como `vert-core`)
+**Objetivo:** Garantir segurança e confiabilidade para uso em produção.
+---
+## 1. Resumo executivo
+| Categoria        | Status | Observação |
+|------------------|--------|------------|
+| Segurança        | ✅ Aprovado com ressalvas | Sem vulnerabilidades críticas; ver itens 2.x |
+| Qualidade        | ✅ Bom | Código consistente; ver itens 3.x |
+| Dependências     | ✅ OK | Rails 7–9, Sidekiq, Bunny, Discard — versões declaradas |
+| Publicação       | ⚠️ Ajuste | CI usa Ruby 2.6; gemspec exige >= 3.2 |
+---
+## 2. Segurança
+### 2.1 Pontos positivos
+- **SQL:** Uso de `ActiveRecord::Base.sanitize_sql` em `ConnectionHandler` para `SET LOCAL` (tenant_id, company_id, user_id). Nenhuma concatenação direta de input em SQL.
+- **Autorização:** Queries em `PermissionResolver` usam placeholders (`?`). Nenhum `eval`, `YAML.load` ou `Marshal.load` em dados de usuário ou mensagens.
+- **Contexto de job:** `Vert::Current.serialize/deserialize` só manipula Hash com atributos primitivos (tenant_id, user_id, company_id, request_id). Não há deserialização insegura.
+- **Constantes:** `Object.const_get` em `PolicyFinder` e `OutboxEvent` usa apenas nomes derivados do modelo/record da aplicação, não de input do usuário.
+- **Secrets:** Nenhuma senha, token ou API key hardcoded. URLs e credenciais vêm de `Vert.config` ou `ENV`.
+### 2.2 Riscos e recomendações
+| Risco | Severidade | Recomendação |
+|-------|------------|--------------|
+| **Defaults de conexão** | Baixo | `Configuration` usa `ENV.fetch(..., "amqp://guest:guest@localhost:5672/")` e `redis://localhost:6379/0`. Em produção, garantir sempre variáveis de ambiente; considerar remover defaults “guest” em doc ou comentar que são apenas para desenvolvimento. |
+| **Document service** | Baixo | `DocumentServiceClient` não valida `base_url`. Garantir que `document_service_url` não seja controlada por usuário (evitar SSRF). Em produção usar HTTPS. |
+| **Health / rotas** | Baixo | `Vert::Health::Routes.mount(router, path: nil)` usa `path` em `scope path`. O valor vem de `Vert.config.health_check_path` (default `/health`). Se a app permitir config dinâmico a partir de input, poderia haver path traversal; uso normal é seguro. |
+| **Resposta 403** | Info | `render_forbidden` expõe `permission` (nome do método da policy) e `resource` (nome da classe). Pode ser desejável em APIs internas; em APIs públicas considerar resposta genérica para não revelar estrutura. |
+| **Cache de permissões (Redis)** | Baixo | `invalidate_user_cache(user_id)` monta a chave `vert:permissions:#{user_id}:*`. Se `user_id` puder conter `*` ou `?`, o padrão Redis poderia invalidar mais chaves. Recomendação: usar apenas IDs válidos (UUID/integer) ou escapar/sanitizar. |
+| **Consumers RabbitMQ** | Médio (contexto) | `ConsumerContext` define contexto (tenant_id, user_id, company_id) a partir dos headers da mensagem. Qualquer produtor da fila pode “personificar” um tenant. Garantir que apenas serviços confiáveis publiquem nessas filas e que a rede do broker seja controlada. |
+### 2.3 O que não foi encontrado
+- Uso de `eval`, `exec`, `system`, backticks ou `Kernel#open` com input externo.
+- `YAML.load` ou `Marshal.load` em dados de request ou mensagens.
+- Exposição de stack trace ou detalhes internos em respostas de erro (apenas mensagens controladas).
+- Credenciais ou tokens fixos no código.
+---
+## 3. Qualidade
+### 3.1 Estrutura e convenções
+- `# frozen_string_literal: true` e estilo consistente.
+- Separação clara: concerns, clients, RLS, outbox, health, authorization.
+- Entry point único: `vert_core.rb` → `vert.rb`; Railtie condicional.
+### 3.2 Tratamento de erros
+- `ConnectionHandler`: `rescue StandardError` com log e re-raise em `set_context`; em `reset_context` apenas log (evita mascarar falhas de reset).
+- `DocumentServiceClient`: `execute_request` retorna hash `{ success:, error:, ... }`; não propaga exceção para o caller, adequado para cliente HTTP.
+- `Publisher#publish`: `rescue StandardError` → `mark_as_failed!` e retorno `false`.
+- Health checks: cada check em `check_all` em bloco próprio com `rescue` para não derrubar os demais.
+### 3.3 Configuração
+- Flags explícitas (enable_rls, enable_outbox, etc.) com default seguro (maioria `false`; health `true`).
+- Documentação no README e no template do initializer.
+### 3.4 Melhorias sugeridas
+- **Configuração sensível:** Considerar um método `Vert.config.to_s` ou inspetor que oculte `rabbitmq_url` e `document_service_url` em logs (ex.: mostrar só host/scheme).
+- **Versão do Ruby no CI:** Alinhar o workflow ao `required_ruby_version` (>= 3.2) para evitar publicar com Ruby incompatível.
+---
+## 4. Gemspec e publicação
+- **Nome:** `vert-core` (require: `vert_core`); módulo: `Vert`. Consistente.
+- **Licença:** MIT. Adequado.
+- **Dependências:** activesupport/activerecord 7–9, bunny ~> 2.22, discard ~> 1.3, sidekiq 7–9. Ranges claros.
+- **CI:** `.github/workflows/gem-push.yml` usa Ruby 2.6; o gemspec exige `>= 3.2.0`. **Correção necessária:** usar Ruby 3.2 (ou 3.3) no workflow.
+---
+## 5. Checklist pós-auditoria
+- [ ] Atualizar workflow para Ruby 3.2+.
+- [ ] Documentar na README que defaults de RabbitMQ/Redis são apenas para desenvolvimento.
+- [ ] (Opcional) Sanitizar/validar `user_id` em chaves de cache no `PermissionResolver`.
+- [ ] (Opcional) Resposta 403 mais genérica em ambientes públicos.
+- [ ] Manter dependências atualizadas (`bundle audit` / Dependabot).
+---
+## 6. Conclusão
+A gem **vert-core** está em bom estado para uso em produção do ponto de vista de segurança e qualidade. Não foram identificadas vulnerabilidades críticas ou altas. As recomendações são sobretudo de configuração (ENV em produção, confiança em produtores de mensagens), alinhamento do CI ao Ruby 3.2+ e pequenos ajustes opcionais de hardening e documentação.

data/lib/vert/authorization/permission_resolver.rb CHANGED Viewed

@@ -51,7 +51,10 @@ module Vert
         end
         def invalidate_user_cache(user_id)
-          pattern = "#{CACHE_PREFIX}:#{user_id}:*"
+          return if user_id.blank?
+          # Sanitize to avoid Redis KEYS pattern injection (e.g. * or ? in user_id)
+          safe_id = user_id.to_s.gsub(%r{[*?\[\]\{\}\\]}, "")
+          pattern = "#{CACHE_PREFIX}:#{safe_id}:*"
           redis_delete_pattern(pattern)
         end

data/lib/vert/configuration.rb CHANGED Viewed

@@ -50,6 +50,7 @@ module Vert
       @enable_company_scoped = false
       @enable_document_storeable = false
+      # Production: set RABBITMQ_URL, DOCUMENT_SERVICE_URL, REDIS_URL via ENV; do not rely on defaults.
       @rls_user = ENV.fetch("RLS_USER", "app_user")
       @rabbitmq_url = ENV.fetch("RABBITMQ_URL", "amqp://guest:guest@localhost:5672/")
       @exchange_name = ENV.fetch("RABBITMQ_EXCHANGE", "vert.events")

data/lib/vert/version.rb CHANGED Viewed

@@ -1,5 +1,5 @@
 # frozen_string_literal: true
 module Vert
-  VERSION = "1.0.1"
+  VERSION = "1.0.2"
 end

metadata CHANGED Viewed

@@ -1,7 +1,7 @@
 --- !ruby/object:Gem::Specification
 name: vert-core
 version: !ruby/object:Gem::Version
-  version: 1.0.1
+  version: 1.0.2
 platform: ruby
 authors:
 - Vert Team
@@ -178,6 +178,7 @@ extra_rdoc_files: []
 files:
 - CHANGELOG.md
 - README.md
+- SECURITY_AND_QUALITY_AUDIT.md
 - lib/vert.rb
 - lib/vert/authorization/controller_methods.rb
 - lib/vert/authorization/dynamic_policy.rb