AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

[DOCS] CONTEXT: implementati gap P2 benchmark + P3 supply-chain self-assessment + P3 policy attestation/versioning

Browse Source 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
DevEnv nis2-agile 2026-05-30 10:22:33 +02:00
parent 14c06c8881
commit c15d8db510
1 changed files with 9 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

9
docs/CONTEXT_LAST_SESSION.md
View File

@ -37,7 +37,16 @@ SIEM `nis2_siem_70246bbf...`, lg231 `nis2_lg231_2b6b4c09...`, SustainAI `nis2_su
- **EVIX scorecard**: gap P1/P2 marcati chiusi (backend), roadmap P1/P2 con voci ✅ FATTO. - **EVIX scorecard**: gap P1/P2 marcati chiusi (backend), roadmap P1/P2 con voci ✅ FATTO.
- Verificato in prod: OpenAPI espone i 4 endpoint, pagine 200, import JWT 201, monitoring JWT 200. - Verificato in prod: OpenAPI espone i 4 endpoint, pagine 200, import JWT 201, monitoring JWT 200.
### ✅ Gap P2/P3 rimanenti — IMPLEMENTATI (sessione 2026-05-30, pomeriggio)
- **P2 Benchmark settoriale anonimizzato** (commit `a673033`): `GET /dashboard/sectorBenchmark` — confronta score org vs aggregati anonimi del settore (avg/median/p25/p75/percentile/posizione), k-anonymity ≥3 org. UI: pannello dashboard con barra distribuzione. Differenziatore rete multi-tenant. Testato E2E (peers=4, avg/median esatti).
- **P3 Supply chain self-assessment** (commit `8f4e8e9`): migrazione `027` (tabella `supplier_questionnaires`), `SupplyChainController::sendQuestionnaire` (JWT, link token 30gg) + `publicQuestionnaire`/`submitPublicQuestionnaire` (NO auth, token) + `questionnaireStatus`. 8 domande Art.21.2.d pesate → score → `suppliers.risk_score`. Pagina pubblica `public/supplier-assessment.html` (standalone). Pulito route map (rimossi duplicati + `PueT` garbage + metodi inesistenti). Testato E2E (send→public GET→submit→dedup 409→bad token 404).
- **P3 Policy attestation + versioning** (commit `75de1c2`): migrazione `028` (`policy_versions` + `policy_attestations`), `approve()` crea snapshot versione, `attest`/`attestations`(copertura %)/`pendingAttestations`/`versions`/`diff?from&to`. **Version-aware**: bump versione → richiede ri-attestazione (verificato E2E: diff added/removed corretto, pending ricompare dopo v2.0).
### ⚠️ Trovato file PRE-CORROTTO (non toccato)
`public/supply-chain.html` è **corrotto in HEAD da prima** (committato 2025-09-29): righe garbage `the ▐ }`, `const file = list.clea; // BUG`, funzioni duplicate. NON è di questa sessione. La UI admin per inviare questionari fornitori va aggiunta **dopo** aver riparato questa pagina (task separato). Il backend + portale pubblico P3 supply chain funzionano comunque via API.
### ❌ Restano (prossimi passi reali) ### ❌ Restano (prossimi passi reali)
- **Riparare `public/supply-chain.html`** (pre-corrotto) + aggiungere UI admin "Invia questionario" / stato attestation policy / lista versioni+diff.
- Connettori **per-vendor live** (OAuth M365/Google/AWS/Azure/IdP/EDR): le 8 card sono "In roadmap"; servono client + credenziali/app-registration lato cliente. - Connettori **per-vendor live** (OAuth M365/Google/AWS/Azure/IdP/EDR): le 8 card sono "In roadmap"; servono client + credenziali/app-registration lato cliente.
- **Auto-discovery attiva** asset (agent/scan) — l'import bulk e gia disponibile. - **Auto-discovery attiva** asset (agent/scan) — l'import bulk e gia disponibile.
- Gap **P2 Reporting/benchmark settoriale** e **P3 Supply chain/policy** non ancora affrontati. - Gap **P2 Reporting/benchmark settoriale** e **P3 Supply chain/policy** non ancora affrontati.