PD-238 — Revue des Tests¶
Résumé¶
| Critère | Statut |
|---|---|
| Couverture TC-* | 6/10 |
| Qualité assertions | ⚠️ |
| Isolation | ✅ |
| Edge cases | ⚠️ |
Verdict : ⚠️ RÉSERVES
Matrice de couverture¶
| TC-ID | Implémenté | Commentaire |
|---|---|---|
| TC-NOM-01 | ✅ | Couvert dans e2e mfa-management.e2e-spec.ts. |
| TC-NOM-02 | ✅ | Couvert (init TOTP). |
| TC-NOM-03 | ✅ | Couvert (verify + recovery codes). |
| TC-NOM-04 | ✅ | Couvert (disable avec reauth). |
| TC-NOM-05 | ✅ | Couvert (regenerate). |
| TC-NOM-06 | ✅ | Couvert (reauth). |
| TC-ERR-01 | ✅ | Couvert (401 sans JWT). |
| TC-ERR-05 | ✅ | Couvert (disable sans reauth). |
| TC-ERR-06 | ✅ | Couvert (verify invalide). |
| TC-ERR-08 | ✅ | Couvert (rate limit). |
Points à améliorer¶
| ID | Description | Gravité |
|---|---|---|
| T-01 | La couverture des cas d’erreur contractuels est incomplète (ex. ERR-238-REAUTH-FAILED, ERR-238-TOTP-INIT-FAILED, ERR-238-RECOVERY-REGEN-FAILED, ERR-238-INTERNAL). | MAJEUR |
| T-02 | Pas d’assertion explicite sur l’absence de secrets dans les logs (INV-238-09). | MAJEUR |
| T-03 | Vérification insuffisante des claims du reauthToken (purpose, exp exact +5min). | MINEUR |
| T-04 | Pas de test explicite sur l’accès croisé (U1/U2) pour tous endpoints MFA. | MINEUR |
Tests manquants¶
- TC-ERR-13 :
POST /auth/reauthmot de passe invalide (ERR-238-REAUTH-FAILED) - TC-ERR-09/10/11/12 : erreurs Keycloak et erreurs internes non simulées
- TC-INV-02 : audit des logs pour secrets
- TC-INV-03 : vérification absence stockage local secrets