Skip to content

Releases: WicaebethTheo/itsm-modern-ai

v0.9.46 — Durcissement du cœur de triage

Choose a tag to compare

@WicaebethTheo WicaebethTheo released this 02 Jul 15:08

0.9.46 — Durcissement du cœur de triage

Suite à un audit approfondi du moteur.

Sécurité — garde-fous du moteur

  • Contournement de la liste d'autorisation fermé : un technicien proposé par le LLM hors périmètre, accompagné d'un groupe autorisé, n'est plus jamais assigné dans GLPI. La mutation et le journal reflètent le même acteur (fin d'un trou d'audit exploitable par injection de prompt en mode automatique).
  • Dépense LLM bornée : une réponse 200 malformée (filtre de contenu, portail captif) devient une erreur typée au lieu de se re-facturer en boucle sans passer par le plafond de coût.
  • Périmètre vide : le polling saute le cycle sans consommer les tickets tant qu'aucune catégorie n'est sélectionnée.
  • Intégrité de l'audit : une décision appliquée à GLPI est toujours journalisée, même si l'écriture du suivi échoue ensuite.

On-premise & configuration

  • Nouveau GLPI_ALLOW_PRIVATE (défaut activé) : cible GLPI sur IP/hôte privé sans relâcher la protection SSRF du LLM et du vérificateur de mises à jour.
  • « Retirer la clé de licence » re-verrouille bien en Community même si LICENSE_KEY vient de l'environnement.
  • Prix par million de tokens éditables depuis la console : le plafond de coût reste juste après un changement de fournisseur.
  • Bac à sable soumis au plafond de coût et journalisé ; SQLite en mode WAL ; divers durcissements d'en-têtes et de journalisation.

Console & docs

  • Formulaires de configuration : les valeurs et secrets d'un mode/fournisseur abandonné ne sont plus envoyés à l'insu de l'opérateur ; message de connexion distinguant une panne d'un mauvais mot de passe.
  • Site : navigation mobile, langue correcte au premier rendu.
  • Documentation : correction du périmètre de masquage PII (IBAN/secrets = Supporter), de la rétention RGPD (active par défaut) et du mode air-gap.

Mise à jour : docker compose pull && docker compose up -d (le volume itsm_data est préservé).

v0.9.45 — Durcissement global

Choose a tag to compare

@WicaebethTheo WicaebethTheo released this 02 Jul 12:12

0.9.45 — Durcissement global + correctifs de revue

Cumule la 0.9.44 (publiée hier, remplacée par cette release) et ses correctifs de revue.

Sécurité

  • Rotation de la clé de signature des licences (Ed25519). Les clés de licence émises avant la 0.9.44 ne sont plus reconnues : écrivez à support@itsm-modern-ai.com pour une ré-émission gratuite.
  • En-têtes de sécurité HTTP sur toutes les réponses (nosniff, X-Frame-Options, Referrer-Policy, CSP sur la console, HSTS derrière TLS).
  • /api/status n'expose plus compteurs et coûts sans session authentifiée.
  • Garde SSRF sans blocage de l'event loop (résolution DNS en thread).

Fiabilité

  • Publication de l'image gatée : tests + smoke-test réel du conteneur (boot, /health, amorçage admin) avant tout push sur GHCR.
  • Image allégée de ~36 % (170 → 109 Mo) + HEALTHCHECK intégré.
  • Installeur curl | bash durci : détection d'une installation « depuis les sources », backup du compose, messages explicites sur le mot de passe, override ITSM_DIR.
  • Backoff sur les retries LLM ; DASHBOARD_MAX_TICKETS honoré en GLPI legacy.

Console

  • Session expirée → retour à l'écran de connexion ; correctif de la boucle de redirection quand aucun mot de passe admin n'est configuré (bandeau explicite sur la page de connexion).
  • Messages d'erreur bilingues centralisés ; commande de mise à jour adaptée au runtime (Docker vs hôte) sur la page Supporter.

Mise à jour : docker compose pull && docker compose up -d (le volume itsm_data est préservé).