From 656115ef8741e447fd641562d924151b3d1b58db Mon Sep 17 00:00:00 2001
From: Apple <apple@MacBook-Pro.local>
Date: Wed, 28 Jan 2026 06:44:48 -0800
Subject: [PATCH] docs: Update TODO with security audit results

---
 TODO-CRITICAL-NODA1.md | 42 +++++++++++++++++++++++++++++++++++++++++-
 1 file changed, 41 insertions(+), 1 deletion(-)

diff --git a/TODO-CRITICAL-NODA1.md b/TODO-CRITICAL-NODA1.md
index e98278d0..04f28ae6 100644
--- a/TODO-CRITICAL-NODA1.md
+++ b/TODO-CRITICAL-NODA1.md
@@ -1,7 +1,7 @@
 # 🚨 КРИТИЧНІ TODO для NODA1
 
 **Оновлено:** 2026-01-28  
-**Джерело:** Аналіз усіх документів репозиторію
+**Джерело:** Аналіз усіх документів репозиторію + live audit
 
 ---
 
@@ -17,6 +17,46 @@
 
 ---
 
+## 🛡️ АУДИТ БЕЗПЕКИ (2026-01-28)
+
+### Fail2ban — ✅ ПРАЦЮЄ
+| Jail | Статус |
+|------|--------|
+| sshd | ✅ Active |
+| nginx-auth | ✅ Active |
+| nginx-limit-req | ✅ Active |
+| nginx-waf | ✅ Active |
+
+### Firewall (DOCKER-USER) — ✅ НАЛАШТОВАНО
+- Внутрішні порти (8000, 8001, 8101, 8890, 9500, 3030) — DROP ззовні
+- Docker network (172.18.0.0/16) — ACCEPT
+
+### Backups — ✅ ПРАЦЮЮТЬ
+- Postgres: щодня о 3:00, останній backup 2026-01-28
+- Retention: daily, weekly, monthly
+
+### Trivy Scan — ⚠️ ВРАЗЛИВОСТІ
+| Образ | CRITICAL | HIGH |
+|-------|----------|------|
+| qdrant:v1.7.4 | 3 | 32 |
+| postgres:16 | 3 | 8 |
+| nats:2.10-alpine | 2 | 2 |
+
+**Головна вразливість:** OpenSSL CVE-2025-15467 (Remote Code Execution)
+
+**Рекомендація:** Оновити образи в наступному maintenance window:
+```bash
+docker pull qdrant/qdrant:latest
+docker pull postgres:16
+docker pull nats:2.10-alpine
+# Потім docker-compose up -d
+```
+
+### Container Limits — ⚠️ НЕ НАЛАШТОВАНО
+Всі контейнери без memory/CPU limits. Рекомендовано додати в compose.
+
+---
+
 ## 🔴 КРИТИЧНІ (Безпека)
 
 ### З SECURITY-ROTATION-PLAN.md