PD-238 — Revue de Code (v2 - Corrections post-gate)¶
Résumé¶
| Critère | Statut |
|---|---|
| Correction ECT-04 | ✅ |
| Correction ECT-06 | ✅ |
| Correction mockReturnValue | ✅ |
| Qualité code | ✅ |
Verdict : ✅ CONFORME
Points positifs¶
- Suppression des tests
constantTimeEqualcohérente avec la migration verscrypto.timingSafeEqual(natif Node.js). - Unification des raisons d’échec en
INVALID_CREDENTIALSconforme à l’objectif anti‑énumération. - Correction du mock (
mockReturnValuepour méthode synchrone) élimine un risque de faux positifs. - Commentaires explicites sur les changements ECT‑04/ECT‑06 et maintien des assertions clés.
Points à améliorer¶
| ID | Description | Ligne | Gravité |
|---|---|---|---|
| — | Aucun écart résiduel identifié sur les corrections demandées. | — | — |
Détail des corrections¶
ECT-04 (constantTimeEqual → timingSafeEqual)¶
- ✅ Les tests dédiés ont été supprimés avec un commentaire justifiant la non‑nécessité de tests unitaires pour une primitive native.
- ✅ Pas de perte de couverture fonctionnelle sur le flux reauth (les tests vérifient toujours le résultat final).
ECT-06 (Unification INVALID_CREDENTIALS)¶
- ✅ Les assertions
emitSensitiveActionBlockedont été mises à jour surINVALID_CREDENTIALS. - ✅ Les descriptions de tests reflètent correctement la nouvelle sémantique.
Bug mockReturnValue¶
- ✅
verifyPasswordétant synchrone, le passage àmockReturnValue(false)est correct et évite des Promises implicites. - ✅ Les tests d’erreur restent déterministes (échec reauth + absence de JWT).