K
Clés API cloud
Utilisez des tokens à périmètre réduit quand possible. Faites tourner toute clé visible dans logs, captures ou sorties de test.
Modèle de sécurité
Comprenez les identifiants requis avant de déployer.
PrivateDeploy automatise une infrastructure sensible. Traitez les clés API cloud, clés SSH, mots de passe de nœud et liens d’abonnement comme des secrets de production.
S
Matériel SSH
La récupération DigitalOcean utilise une paire ed25519 gérée avec accès root aux droplets créés.
N
Identifiants de nœud
Mots de passe de protocole, UUID, clés Reality et liens de partage sont des secrets.
L
Stockage local
Tokens et configuration sensible devraient utiliser le keyring système plutôt que des fichiers en clair.
Checklist sécurité des releases preview
Avant de distribuer une build, terminez ces contrôles pour le tag exact.
Zone
Contrôle
Résultat requis
Scan de secrets
Requis
Aucune clé API, clé privée, token, mot de passe, lien de nœud ou URL d’abonnement dans source ou artefacts.
Artefacts de release
Requis
Chaque binaire possède un checksum SHA256 et vient du même commit/tag.
Smoke tests cloud
Par fournisseur
Marquez un fournisseur vérifié seulement après création, déploiement, connexion, récupération si applicable et suppression.
Support iOS
Conditionnel
Marquez iOS build-required sauf si VPNCore et les droits sont validés sur appareil réel.
Traitement des données
PrivateDeploy doit être évalué comme outil d’infrastructure local-first.
Pas un service VPN hébergé
Le projet ne fournit pas de serveurs proxy partagés. Vous déployez des nœuds dans vos comptes et hôtes.
Les secrets restent sensibles
Clés API, clés SSH gérées, mots de passe, UUID et liens d’abonnement ne doivent pas être publiés.
Signaler une vulnérabilité
Utilisez GitHub issues pour les bugs non sensibles. Pour les rapports exploitables, utilisez un advisory privé si disponible.
Usage responsable
PrivateDeploy doit être utilisé seulement avec une infrastructure et des comptes que vous possédez ou êtes autorisé à gérer. Lisez les conditions du fournisseur cloud.
contrôle local de release
bash scripts/check_versions.sh
scripts/secret_scan.sh