docs: Update TODO with security audit results

2026-01-28 06:44:48 -08:00
parent bc4ad30878
commit 656115ef87
1 changed files with 41 additions and 1 deletions
--- a/TODO-CRITICAL-NODA1.md
+++ b/TODO-CRITICAL-NODA1.md
@@ -1,7 +1,7 @@
 # 🚨 КРИТИЧНІ TODO для NODA1

 **Оновлено:** 2026-01-28  
-**Джерело:** Аналіз усіх документів репозиторію
+**Джерело:** Аналіз усіх документів репозиторію + live audit

 ---

@@ -17,6 +17,46 @@

 ---

+## 🛡️ АУДИТ БЕЗПЕКИ (2026-01-28)
+
+### Fail2ban — ✅ ПРАЦЮЄ
+| Jail | Статус |
+|------|--------|
+| sshd | ✅ Active |
+| nginx-auth | ✅ Active |
+| nginx-limit-req | ✅ Active |
+| nginx-waf | ✅ Active |
+
+### Firewall (DOCKER-USER) — ✅ НАЛАШТОВАНО
+- Внутрішні порти (8000, 8001, 8101, 8890, 9500, 3030) — DROP ззовні
+- Docker network (172.18.0.0/16) — ACCEPT
+
+### Backups — ✅ ПРАЦЮЮТЬ
+- Postgres: щодня о 3:00, останній backup 2026-01-28
+- Retention: daily, weekly, monthly
+
+### Trivy Scan — ⚠️ ВРАЗЛИВОСТІ
+| Образ | CRITICAL | HIGH |
+|-------|----------|------|
+| qdrant:v1.7.4 | 3 | 32 |
+| postgres:16 | 3 | 8 |
+| nats:2.10-alpine | 2 | 2 |
+
+**Головна вразливість:** OpenSSL CVE-2025-15467 (Remote Code Execution)
+
+**Рекомендація:** Оновити образи в наступному maintenance window:
+```bash
+docker pull qdrant/qdrant:latest
+docker pull postgres:16
+docker pull nats:2.10-alpine
+# Потім docker-compose up -d
+```
+
+### Container Limits — ⚠️ НЕ НАЛАШТОВАНО
+Всі контейнери без memory/CPU limits. Рекомендовано додати в compose.
+
+---
+
 ## 🔴 КРИТИЧНІ (Безпека)

 ### З SECURITY-ROTATION-PLAN.md