AdminGit2026/nis2-agile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
NIS2 Agile - Piattaforma SaaS per compliance NIS2 (EU 2022/2555)
149 Commits 1 Branch 0 Tags 12 MiB
HTML 49.5%
PHP 39.5%
JavaScript 9.1%
CSS 1.9%
2fd4b7ff26
Go to file
DevEnv nis2-agile 2fd4b7ff26 [FIX][SEC] Connettori: autorizzazione per-org + secret allowlist (findings review multi-agente) 
Due vulnerabilità trovate dalla review indipendente:
1. connectorOrgGuard usava users.role (GLOBALE) invece del ruolo per-org -> la feature
   era ROTTA per gli utenti reali (org_admin reale ha users.role='employee' -> 403 sulla
   propria org). Ora ancora l'autorizzazione al parametro di ROUTE {id} e legge
   user_organizations.role. Verificato E2E: globale=employee + per-org=org_admin -> 200;
   non-membro su altra org -> 403 (no IDOR via header X-Organization-Id).
2. secret-strip era una denylist case-sensitive/non-ricorsiva aggirabile (Client_Secret,
   apiKey, connection_string, segreti annidati). Sostituita con ALLOWLIST ricorsiva
   (sanitizeConnectorConfig): solo campi non sensibili noti, valori forzati a stringa+troncati.
   Verificato E2E: input con 11 varianti di segreti -> DB contiene solo {account_id, region}.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-30 11:37:25 +02:00
.claude [SERVER] Auto-commit: allineamento repository 2026-02-24 12:56:23 +00:00
application [FIX][SEC] Connettori: autorizzazione per-org + secret allowlist (findings review multi-agente) 2026-05-30 11:37:25 +02:00
docker [FIX] Qdrant URL hostname drift-proof (RAG produzione) + recreate app 2026-05-29 17:22:54 +02:00
docs [DOCS] CONTEXT: connettori per-azienda implementati (org_connectors, secret nel vault via CLI) 2026-05-30 10:52:03 +02:00
public [FIX] risks.html: apostrofi non escapati in LIKELIHOOD_DETAILS rompevano TUTTO lo script inline 2026-05-30 11:34:52 +02:00
scripts [FEAT] Integrazione analisi docs/nis2 v1.7.0 — scoring asset, tassonomia incidenti, PIR, NIST CSF, fonti certe 2026-05-29 17:15:13 +02:00
.dockerignore [FIX] Dockerignore: allow docker/php.ini for build context 2026-02-18 09:17:52 +01:00
.gitignore [CHORE] .gitignore: escludi backup (*.bak*, .backups/) e chiavi SSH effimere (.ssh-temp/) 2026-05-29 15:41:44 +02:00
.htaccess [CORE] Initial project scaffold - NIS2 Agile Compliance Platform 2026-02-17 17:50:18 +01:00
AGENT_CHANGES.md [DOCS] Standard cross-suite AgileHub + governance CLAUDE.md + registri agent 2026-05-29 15:41:54 +02:00
agile-services-istructio.md [CORE] Aggiunto integrazione agile-services: istruzioni + CLAUDE.md aggiornato 2026-02-18 08:05:36 +00:00
CLAUDE.md docs(handover): release workflow + hot-reload PHP + disciplina commit (attivita primaria) 2026-05-30 09:17:17 +02:00
simulate-nis2-b2b.php [FIX] simulate-nis2-b2b: POST /invites → /invites/create (router mapping) 2026-03-10 15:55:23 +01:00
simulate-nis2-big.php [FIX] BigSim: asset_type mapping + incident/NCR ENUM values 2026-03-17 15:49:49 +01:00
simulate-nis2.php [FIX] simulate: proc_open streaming SSE (pattern lg231) + NIS2_SSE flag 2026-03-10 10:51:05 +01:00