c099b3acd9
Beweist die Auth-Gating-Garantie und härtet das System ab (Definition of Done #1, #2, #3, #7, #8): - Routen-Manifest (tests/e2e/routes.manifest.ts) als einzige Quelle der Wahrheit; anonyme Seite -> Redirect /login, anonyme API -> 401. - Kritische auth-gating.spec.ts: genau ein Fall je Manifest-Eintrag, ohne Daten-Leak. - Driftschutz (routes.manifest.spec.ts + tests/unit/routes-manifest.test.ts): keine ungetestete neue Route unter src/app/**. - Default-Deny-Beweis für Server Actions (server-actions-guard.spec.ts + tests/unit/server-actions-guard.test.ts): jede "use server"-Funktion ruft als erste Anweisung einen Guard; Login-Actions per Allowlist ausgenommen. - Wiederverwendbare reine Scanner unter tests/support (route-scan, guard-scan) — offline lauffähig, in Vitest und Playwright geteilt. - rbac-scoping, search-eta, login-ratelimit, security-headers Specs (gegen geseedeten Server; in der Sandbox deferred, per test.skip abgesichert). - global-setup (Migration + Seed) und auth.setup (Login je Konto -> storageState); Playwright-Projekte setup -> chromium verdrahtet. - src/lib/security/headers.test.ts: statischer Beleg für CSP, HSTS, X-Frame-Options DENY, nosniff, Permissions-Policy. - vitest.config.ts: Coverage-Schwellen (>=90 %) für src/lib/search + src/lib/geo. - package.json: Scripts test:unit, test:coverage, test:e2e, test:e2e:gating. - docs/reference/sicherheitshaertung-checkliste.md: jeder Härtungspunkt mit Test/Befehl und Negativ-Probe. Offline verifiziert: tsc --noEmit (0), vitest run (229 passed / 7 db-skipped), drizzle-kit check (ok), next build (exit 0), next lint (0 Fehler), playwright --list (98 Tests, 15 Dateien). DB-/Server-/Browser-abhängige E2E-Läufe sind deferred (kein Postgres/Server in der Sandbox). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
37 lines
1.2 KiB
TypeScript
37 lines
1.2 KiB
TypeScript
import { execSync } from "node:child_process";
|
|
|
|
/**
|
|
* Playwright Global-Setup (Definition of Done #1, Plan WS11 Aufgabe 2).
|
|
*
|
|
* NICHT in der Sandbox ausführbar (kein Postgres) — deferred. Läuft im CI/lokal
|
|
* gegen eine erreichbare DB:
|
|
* 1. Migrationen anwenden (idempotent).
|
|
* 2. Deterministischen Seed laden (Katalog) + Test-Fixtures (Wehren A/B mit
|
|
* Koordinaten, je Fahrzeug/Gerät mit festen UUIDs, vier Benutzer mit
|
|
* argon2id-Test-Passwort).
|
|
*
|
|
* Wird nur ausgeführt, wenn KEIN externer E2E_BASE_URL gesetzt ist (dann ist die
|
|
* Ziel-Umgebung bereits provisioniert) und DATABASE_URL existiert.
|
|
*/
|
|
async function globalSetup(): Promise<void> {
|
|
if (process.env.E2E_BASE_URL) {
|
|
// Externe Umgebung: bereits provisioniert, nichts tun.
|
|
return;
|
|
}
|
|
if (!process.env.DATABASE_URL) {
|
|
console.warn(
|
|
"[global-setup] DATABASE_URL fehlt — Migration/Seed übersprungen (deferred).",
|
|
);
|
|
return;
|
|
}
|
|
const run = (cmd: string) =>
|
|
execSync(cmd, { stdio: "inherit", env: process.env });
|
|
|
|
run("npm run db:migrate");
|
|
run("npm run db:seed");
|
|
// Deterministische E2E-Fixtures (vier Konten + Wehren A/B + feste Asset-UUIDs).
|
|
run("npm run db:seed-auth");
|
|
}
|
|
|
|
export default globalSetup;
|