sertivibed 0.1.0

package/dist/reporters/md.js

@@ -0,0 +1,278 @@
+"use strict";
+/**
+ * Markdown Reporter
+ *
+ * Genererer profesjonell rapport UTEN LLM.
+ * Alt er deterministisk og basert på claims + evidence.
+ */
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.generateMarkdownReport = generateMarkdownReport;
+const types_1 = require("../types");
+// ============================================
+// MAIN EXPORT
+// ============================================
+function generateMarkdownReport(result) {
+    const sections = [];
+    sections.push(generateHeader(result));
+    sections.push(generateScopeSection(result));
+    sections.push(generateCoverageSection(result));
+    sections.push(generateSummarySection(result));
+    if (result.claims.length > 0) {
+        sections.push(generateFindingsSection(result));
+    }
+    sections.push(generatePassedSection(result));
+    sections.push(generateActionPlanSection(result));
+    sections.push(generateFooter(result));
+    return sections.join("\n\n");
+}
+// ============================================
+// HEADER
+// ============================================
+function generateHeader(result) {
+    const verdict = getVerdict(result);
+    const verdictEmoji = verdict === "BESTÅTT" ? "✅" : verdict === "BESTÅTT MED MERKNADER" ? "⚠️" : "❌";
+    return `
+═══════════════════════════════════════════════════════════════════════════════
+                        SERTIVIBED SIKKERHETSRAPPORT
+                        ${result.meta.projectName}
+                        ${new Date(result.meta.scannedAt).toLocaleDateString("no-NO")}
+═══════════════════════════════════════════════════════════════════════════════
+
+${verdictEmoji} **Totalvurdering: ${verdict}**
+`.trim();
+}
+// ============================================
+// SCOPE
+// ============================================
+function generateScopeSection(result) {
+    const confidence = result.meta.totalFilesScanned > 10 ? "HØY" :
+        result.meta.totalFilesScanned > 3 ? "MEDIUM" : "LAV";
+    const skippedCount = result.rulesSkipped?.length || 0;
+    const totalRules = result.rulesChecked.length + skippedCount;
+    return `
+## Scope & Dekning
+
+| Område              | Detaljer                               |
+|---------------------|----------------------------------------|
+| Prosjekt            | ${result.meta.projectName}             |
+| Stack               | ${result.meta.stack.join(", ") || "Ukjent"} |
+| Filer analysert     | ${result.meta.totalFilesScanned}       |
+| Regler kjørt        | ${result.rulesChecked.length}/${totalRules} |
+| Varighet            | ${result.meta.scanDurationMs}ms        |
+| Confidence          | ${confidence}                          |
+`.trim();
+}
+// ============================================
+// COVERAGE
+// ============================================
+function generateCoverageSection(result) {
+    const rulesExecuted = result.rulesChecked.join(", ");
+    let skippedSection = "";
+    if (result.rulesSkipped && result.rulesSkipped.length > 0) {
+        const skippedList = result.rulesSkipped
+            .map(s => `- ⏭️ ${s.ruleId}: ${s.reason}`)
+            .join("\n");
+        skippedSection = `
+**Regler hoppet over:**
+${skippedList}
+`;
+    }
+    return `
+## Coverage
+
+**Regler kjørt:**
+✅ ${rulesExecuted}
+${skippedSection}
+**Filer analysert:**
+- ${result.meta.totalFilesScanned} totalt
+`.trim();
+}
+// ============================================
+// SUMMARY
+// ============================================
+function generateSummarySection(result) {
+    const { summary } = result;
+    return `
+## Sammendrag
+
+| Severity  | Antall | Betydning                                |
+|-----------|--------|------------------------------------------|
+| 🔴 CRITICAL | ${summary.bySeverity.CRITICAL.toString().padStart(2)} | Må fikses umiddelbart                    |
+| 🟠 HIGH     | ${summary.bySeverity.HIGH.toString().padStart(2)} | Må fikses før produksjon                 |
+| 🟡 MEDIUM   | ${summary.bySeverity.MEDIUM.toString().padStart(2)} | Bør fikses snart                         |
+| 🟢 LOW      | ${summary.bySeverity.LOW.toString().padStart(2)} | Vurder å fikse                           |
+| ⚪ INFO     | ${summary.bySeverity.INFO.toString().padStart(2)} | Informasjon                              |
+
+**Totalt:** ${summary.total} funn | **Bestått:** ${summary.passed} regler | **Feilet:** ${summary.failed} regler
+`.trim();
+}
+// ============================================
+// FINDINGS
+// ============================================
+function generateFindingsSection(result) {
+    const findings = result.claims
+        .sort((a, b) => types_1.SEVERITY_ORDER[b.severity] - types_1.SEVERITY_ORDER[a.severity])
+        .map((claim, index) => generateFinding(claim, index + 1))
+        .join("\n\n---\n\n");
+    return `
+## Funn
+
+${findings}
+`.trim();
+}
+function generateFinding(claim, index) {
+    const severityEmoji = getSeverityEmoji(claim.severity);
+    const impactLabel = getImpactLabel(claim.impactType);
+    let evidenceSection = "";
+    if (claim.evidence.length > 0) {
+        evidenceSection = `
+**Bevis fra koden:**
+
+${claim.evidence.slice(0, 3).map(e => `
+📄 \`${e.path}\` (linje ${e.lineStart}-${e.lineEnd})
+\`\`\`
+${e.snippet}
+\`\`\`
+`).join("\n")}`;
+    }
+    let correlationSection = "";
+    if (claim.correlationDetails) {
+        correlationSection = `
+**Kryss-korrelasjon:**
+- Koden bruker funksjonaliteten ✓
+- SQL-pattern som mangler: \`${claim.correlationDetails.sqlMissing}\`
+`;
+    }
+    return `
+### ${severityEmoji} Funn #${index}: ${claim.title}
+
+**Regel:** ${claim.ruleId}
+**Kategori:** ${claim.category}
+**Severity:** ${claim.severity}
+**Impact:** ${impactLabel}
+
+**Beskrivelse:**
+${claim.statement}
+${evidenceSection}
+${correlationSection}
+**Verifisering:**
+${claim.verificationSteps.map((s, i) => `${i + 1}. ${s}`).join("\n")}
+
+**Anbefalt fiks:**
+\`\`\`
+${claim.fixHint}
+\`\`\`
+`.trim();
+}
+// ============================================
+// PASSED
+// ============================================
+function generatePassedSection(result) {
+    const failedRules = new Set(result.claims.map(c => c.ruleId));
+    const passedRules = result.rulesChecked.filter(id => !failedRules.has(id));
+    if (passedRules.length === 0) {
+        return `## Bestått\n\nIngen regler bestått uten funn.`;
+    }
+    return `
+## Bestått (ingen funn)
+
+${passedRules.map(id => `✅ ${id}`).join("\n")}
+`.trim();
+}
+// ============================================
+// ACTION PLAN
+// ============================================
+function generateActionPlanSection(result) {
+    if (result.claims.length === 0) {
+        return `
+## Handlingsplan
+
+🎉 Ingen sikkerhetsfunn! Prosjektet bestod alle ${result.rulesChecked.length} sjekker.
+`.trim();
+    }
+    const prioritized = result.claims
+        .sort((a, b) => types_1.SEVERITY_ORDER[b.severity] - types_1.SEVERITY_ORDER[a.severity])
+        .slice(0, 5);
+    const rows = prioritized.map((claim, i) => {
+        const time = estimateFixTime(claim);
+        return `| ${i + 1} | ${claim.title} | ${claim.severity} | ${time} |`;
+    });
+    return `
+## Prioritert Handlingsplan
+
+| # | Funn | Severity | Estimert tid |
+|---|------|----------|--------------|
+${rows.join("\n")}
+
+**Anbefaling:** Start med CRITICAL og HIGH severity funn. Disse bør fikses før produksjon.
+`.trim();
+}
+// ============================================
+// FOOTER
+// ============================================
+function generateFooter(result) {
+    return `
+---
+
+## Metadata
+
+| | |
+|---|---|
+| Rapport generert | ${result.meta.scannedAt} |
+| Sertivibed versjon | ${result.meta.certivibeVersion} |
+| Regler versjon | ${result.meta.rulesVersion} |
+
+**Ansvarsfraskrivelse:**
+Denne rapporten er en automatisert screening av vanlige sikkerhetsfeil.
+Den erstatter ikke en full sikkerhetsrevisjon utført av sertifiserte eksperter.
+Sertivibed garanterer ikke at alle sårbarheter er identifisert.
+
+---
+*Generert av Sertivibed — Evidence-first security screening*
+`.trim();
+}
+// ============================================
+// HELPERS
+// ============================================
+function getVerdict(result) {
+    const { summary } = result;
+    if (summary.bySeverity.CRITICAL > 0)
+        return "IKKE BESTÅTT";
+    if (summary.bySeverity.HIGH >= 2)
+        return "IKKE BESTÅTT";
+    if (summary.bySeverity.HIGH === 1)
+        return "BESTÅTT MED MERKNADER";
+    if (summary.bySeverity.MEDIUM > 2)
+        return "BESTÅTT MED MERKNADER";
+    return "BESTÅTT";
+}
+function getSeverityEmoji(severity) {
+    switch (severity) {
+        case "CRITICAL": return "🔴";
+        case "HIGH": return "🟠";
+        case "MEDIUM": return "🟡";
+        case "LOW": return "🟢";
+        case "INFO": return "⚪";
+    }
+}
+function getImpactLabel(impact) {
+    switch (impact) {
+        case "data_exposure": return "Dataeksponering";
+        case "privilege_escalation": return "Privilegie-eskalering";
+        case "functional_break": return "Funksjonell feil";
+        case "info_leak": return "Informasjonslekkasje";
+        default: return impact;
+    }
+}
+function estimateFixTime(claim) {
+    switch (claim.category) {
+        case "RLS": return "15-30 min";
+        case "AUTH": return "30-60 min";
+        case "XSS": return "10-20 min";
+        case "SECRETS": return "5-10 min";
+        case "PRIVACY": return "10-15 min";
+        case "STORAGE": return "20-30 min";
+        case "CONFIG": return "10-15 min";
+        default: return "15-30 min";
+    }
+}

package/dist/rules/index.d.ts

@@ -0,0 +1,19 @@
+/**
+ * Sertivibed Rules v0.1
+ *
+ * 12 regler som gir høy verdi med lav falsk positiv rate.
+ *
+ * Kategorier:
+ * - RLS (3 regler): Database row-level security
+ * - AUTH (1 regel): Service role leakage
+ * - PRIVACY (2 regler): Token storage, PII logging
+ * - SECRETS (1 regel): Hardcoded API keys
+ * - XSS (2 regler): Frontend injection risks
+ * - STORAGE (2 regler): File upload security
+ * - CONFIG (1 regel): Security headers
+ */
+import { Rule } from "../types";
+export declare const RULES: Rule[];
+export declare function getRuleById(id: string): Rule | undefined;
+export declare function getRulesByCategory(category: Rule["category"]): Rule[];
+export declare function getRulesBySeverity(severity: Rule["severity"]): Rule[];

package/dist/rules/index.js

@@ -0,0 +1,263 @@
+"use strict";
+/**
+ * Sertivibed Rules v0.1
+ *
+ * 12 regler som gir høy verdi med lav falsk positiv rate.
+ *
+ * Kategorier:
+ * - RLS (3 regler): Database row-level security
+ * - AUTH (1 regel): Service role leakage
+ * - PRIVACY (2 regler): Token storage, PII logging
+ * - SECRETS (1 regel): Hardcoded API keys
+ * - XSS (2 regler): Frontend injection risks
+ * - STORAGE (2 regler): File upload security
+ * - CONFIG (1 regel): Security headers
+ */
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.RULES = void 0;
+exports.getRuleById = getRuleById;
+exports.getRulesByCategory = getRulesByCategory;
+exports.getRulesBySeverity = getRulesBySeverity;
+exports.RULES = [
+    // ============================================
+    // RLS RULES (3)
+    // ============================================
+    {
+        id: "RLS001",
+        title: "RLS ikke aktivert på tabell",
+        category: "RLS",
+        severity: "CRITICAL",
+        kind: "absence",
+        pattern: "ENABLE ROW LEVEL SECURITY",
+        paths: [
+            "**/supabase-setup.sql",
+            "**/supabase/migrations/**/*.sql",
+            "**/*.sql"
+        ],
+        rationale: "Uten RLS kan enhver autentisert bruker lese alle rader i tabellen. Dette er den vanligste og mest alvorlige feilen i Supabase-apper.",
+        fixHint: "ALTER TABLE <tabellnavn> ENABLE ROW LEVEL SECURITY;",
+        impactType: "data_exposure"
+    },
+    {
+        id: "RLS002",
+        title: "Manglende DELETE policy når .delete() brukes",
+        category: "RLS",
+        severity: "MEDIUM",
+        kind: "correlation",
+        paths: [], // Ikke brukt for correlation
+        correlate: {
+            codePattern: "\\.delete\\s*\\(",
+            codePaths: ["**/src/**/*.ts", "**/src/**/*.tsx", "**/src/**/*.js", "**/src/**/*.jsx"],
+            sqlPattern: "FOR DELETE",
+            sqlPaths: ["**/*.sql"],
+            condition: "code_without_sql"
+        },
+        rationale: "Koden prøver å slette data, men ingen DELETE-policy finnes. Dette vil enten feile eller (verre) tillate sletting uten autorisasjonssjekk.",
+        fixHint: "CREATE POLICY \"users_delete_own\" ON <tabell> FOR DELETE USING (auth.uid() = user_id);",
+        impactType: "functional_break"
+    },
+    {
+        id: "RLS003",
+        title: "Policy mangler eierskapssjekk",
+        category: "RLS",
+        severity: "HIGH",
+        kind: "presence",
+        pattern: "USING\\s*\\(\\s*true\\s*\\)|USING\\s*\\(\\s*auth\\.uid\\(\\)\\s+IS\\s+NOT\\s+NULL\\s*\\)",
+        paths: ["**/*.sql"],
+        rationale: "En policy som bare sjekker 'true' eller 'auth.uid() IS NOT NULL' bekrefter innlogging, men ikke eierskap. Bruker A kan lese bruker B sine data.",
+        fixHint: "Endre USING (true) til USING (user_id = auth.uid())",
+        impactType: "data_exposure"
+    },
+    // ============================================
+    // AUTH RULES (1)
+    // ============================================
+    {
+        id: "AUTH001",
+        title: "Service role key i klientkode",
+        category: "AUTH",
+        severity: "CRITICAL",
+        kind: "presence",
+        pattern: "service_role|SUPABASE_SERVICE_ROLE|SERVICE_ROLE_KEY",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx",
+            "**/app/**/*.ts",
+            "**/app/**/*.tsx",
+            "**/pages/**/*.ts",
+            "**/pages/**/*.tsx",
+            "**/components/**/*.ts",
+            "**/components/**/*.tsx"
+        ],
+        rationale: "Service role key omgår ALL Row Level Security. Hvis den er i klientkode, kan en angriper hente den fra browser DevTools og få full databasetilgang.",
+        fixHint: "Bruk kun anon key i frontend. Service role kun på server med proper auth.",
+        impactType: "privilege_escalation"
+    },
+    // ============================================
+    // PRIVACY RULES (2)
+    // ============================================
+    {
+        id: "PRIV001",
+        title: "Auth token i localStorage",
+        category: "PRIVACY",
+        severity: "MEDIUM",
+        kind: "presence",
+        pattern: "localStorage\\.(setItem|getItem)\\s*\\([^)]*(?:token|auth|session|jwt|access_token|refresh_token)",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx"
+        ],
+        rationale: "Tokens i localStorage er sårbare for XSS-angrep. Supabase håndterer dette automatisk — manuell lagring tyder på feil implementasjon.",
+        fixHint: "La Supabase håndtere token-lagring automatisk, eller bruk httpOnly cookies.",
+        impactType: "data_exposure"
+    },
+    {
+        id: "PRIV002",
+        title: "PII i console.log",
+        category: "PRIVACY",
+        severity: "MEDIUM",
+        kind: "presence",
+        pattern: "console\\.(log|info|debug|warn|error)\\s*\\([^)]*(?:email|password|token|user|session|phone|ssn|personnummer|fødselsnummer)",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx"
+        ],
+        rationale: "Logger i produksjon kan inneholde sensitiv info som ender i browser console, Sentry, eller log-filer. GDPR-brudd waiting to happen.",
+        fixHint: "Fjern console.log eller redakt sensitive felter før logging.",
+        impactType: "info_leak"
+    },
+    // ============================================
+    // SECRETS RULES (1)
+    // ============================================
+    {
+        id: "SEC001",
+        title: "Hardkodet API-nøkkel",
+        category: "SECRETS",
+        severity: "HIGH",
+        kind: "presence",
+        // Matcher vanlige API-nøkkel-mønstre, men ikke env-variabler
+        pattern: "(?:apiKey|api_key|apikey)\\s*[:=]\\s*['\"][A-Za-z0-9_-]{20,}['\"]|sk-[A-Za-z0-9]{32,}|AIza[A-Za-z0-9_-]{35}",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx",
+            "**/*.json"
+        ],
+        rationale: "API-nøkler hardkodet i koden havner i git-historikk og er vanskelig å rotere. Bruk miljøvariabler.",
+        fixHint: "Flytt til .env fil og bruk process.env.API_KEY",
+        impactType: "privilege_escalation"
+    },
+    // ============================================
+    // XSS RULES (2)
+    // ============================================
+    {
+        id: "XSS001",
+        title: "dangerouslySetInnerHTML brukt",
+        category: "XSS",
+        severity: "HIGH",
+        kind: "presence",
+        pattern: "dangerouslySetInnerHTML",
+        paths: [
+            "**/src/**/*.tsx",
+            "**/src/**/*.jsx",
+            "**/components/**/*.tsx",
+            "**/components/**/*.jsx"
+        ],
+        rationale: "dangerouslySetInnerHTML injiserer rå HTML i DOM. Hvis innholdet kommer fra bruker-input eller database, er dette en XSS-vektor.",
+        fixHint: "Bruk en sanitizer som DOMPurify, eller unngå rå HTML helt.",
+        impactType: "data_exposure"
+    },
+    {
+        id: "XSS002",
+        title: "innerHTML assignment",
+        category: "XSS",
+        severity: "HIGH",
+        kind: "presence",
+        pattern: "\\.innerHTML\\s*=",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx"
+        ],
+        rationale: "Direkte innerHTML-tilordning er en klassisk XSS-vektor. React bruker dette internt med dangerouslySetInnerHTML, men manuell bruk er risikabelt.",
+        fixHint: "Bruk textContent for tekst, eller sanitize HTML med DOMPurify.",
+        impactType: "data_exposure"
+    },
+    // ============================================
+    // STORAGE RULES (2)
+    // ============================================
+    {
+        id: "STOR001",
+        title: "Fil-opplasting uten validering",
+        category: "STORAGE",
+        severity: "MEDIUM",
+        kind: "presence",
+        pattern: "\\.upload\\s*\\(|storage\\.from\\s*\\(",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx"
+        ],
+        rationale: "Filopplasting uten type/størrelse-validering kan føre til storage-misbruk eller ondsinnet innhold. Sjekk at det er validering FØR upload-kallet.",
+        fixHint: "Valider filtype (MIME + extension) og størrelse før upload.",
+        impactType: "info_leak"
+    },
+    {
+        id: "STOR002",
+        title: "Offentlig storage URL uten signering",
+        category: "STORAGE",
+        severity: "MEDIUM",
+        kind: "presence",
+        pattern: "getPublicUrl\\s*\\(",
+        paths: [
+            "**/src/**/*.ts",
+            "**/src/**/*.tsx",
+            "**/src/**/*.js",
+            "**/src/**/*.jsx"
+        ],
+        rationale: "getPublicUrl gir en URL som er tilgjengelig for alle. Hvis filen inneholder sensitiv data, bruk createSignedUrl med kort TTL i stedet.",
+        fixHint: "Bruk createSignedUrl for sensitive filer, eller sett opp storage policies.",
+        impactType: "data_exposure"
+    },
+    // ============================================
+    // CONFIG RULES (1)
+    // ============================================
+    {
+        id: "CONF001",
+        title: "Manglende Content Security Policy",
+        category: "CONFIG",
+        severity: "LOW",
+        kind: "absence",
+        pattern: "Content-Security-Policy|contentSecurityPolicy",
+        paths: [
+            "**/next.config.js",
+            "**/next.config.ts",
+            "**/next.config.mjs",
+            "**/vercel.json",
+            "**/middleware.ts"
+        ],
+        rationale: "Content Security Policy (CSP) begrenser hvilke scripts som kan kjøre. Uten CSP er XSS-angrep lettere å utføre.",
+        fixHint: "Legg til CSP headers i next.config.js eller middleware.",
+        impactType: "info_leak"
+    }
+];
+// ============================================
+// HELPERS
+// ============================================
+function getRuleById(id) {
+    return exports.RULES.find(r => r.id === id);
+}
+function getRulesByCategory(category) {
+    return exports.RULES.filter(r => r.category === category);
+}
+function getRulesBySeverity(severity) {
+    return exports.RULES.filter(r => r.severity === severity);
+}

package/dist/scan.d.ts

@@ -0,0 +1,8 @@
+/**
+ * Sertivibed Scanner
+ *
+ * Hovedlogikk for å kjøre regler og samle claims.
+ */
+import { ScanResult, ScanConfig } from "./types";
+export declare function scan(config: ScanConfig): Promise<ScanResult>;
+export { RULES } from "./rules/index";