🌊 Rapport d'analyse CodeWave

Tour 1 : Analyse initiale

• Risque d'injection GraphQL : la requête utilise des template literals (${ticketId}) sans validation ni paramétrage sécurisé, ce qui pourrait permettre des attaques si ticketId n'est pas correctement validé
• Suppression du contrôle utilisateur : remplacer le bouton manuel par les préférences suppose que celles-ci sont toujours correctement configurées. Si un utilisateur souhaite exceptionnellement ne pas notifier, il n'a plus cette option
• Absence de tests automatisés : aucun fichier de test n'a été modifié, alors que les changements affectent le flux de notification et l'envoi d'emails avec pièces jointes
• Le fichier createTicket.js continue de grossir et accumule des responsabilités (création de ticket, récupération de pièces jointes, envoi d'email) sans refactorisation
• Impact potentiel sur la taille des emails : les pièces jointes pourraient rendre les emails volumineux sans limite de taille vérifiée

• Sécurité GraphQL : interpolation de chaîne (${ticketId}) dans la requête getAttachments au lieu de variables paramétrées - risque d'injection si ticketId provient d'une source non fiable, bien que ticketId soit généré côté serveur après création du ticket
• Typage faible : attachments?: any[] dans SendTicketMailParams devrait être remplacé par une interface DocumentAttachment { name: string; kdriveId: string } pour assurer la cohérence contractuelle entre getAttachments et sendTicketMail
• Absence de gestion d'erreur dans getAttachments : si la requête GraphQL échoue, l'email sera envoyé sans pièces jointes sans avertissement - devrait inclure un try/catch avec log et potentiellement bloquer l'envoi si les pièces jointes sont critiques
• Couplage temporel fragile : getAttachments dépend de ticketResponse?.data?.data?.id qui pourrait être undefined si la création du ticket échoue partiellement - devrait être vérifié explicitement avant l'appel async
• Localisation sous-optimale : getAttachments est définie dans createTicket.js au lieu d'un module de requêtes réutilisable - limite la réutilisabilité pour d'autres contextes nécessitant les documents d'un ticket

• VULNÉRABILITÉ CRITIQUE : L'interpolation de chaînes dans la requête GraphQL (ticket(id: ${ticketId})) permet une injection GraphQL. Utiliser des variables GraphQL paramétrées à la place.
• Accès profond aux propriétés sans null checks : response.data.ticket.data.attributes.documents.data.map() - cinq niveaux de profondeur sans optionnel chaining ni validation.
• Absence totale de gestion d'erreur dans getAttachments - un échec de requête GraphQL fera planter le handler API complet.
• Aucun test unitaire ni d'intégration visible dans ce diff pour la nouvelle fonctionnalité de pièces jointes.
• Incohérence technologique : createTicket.js reste en JavaScript pur tandis que les autres fichiers utilisent TypeScript.

• createTicket.js : getAttachments() - requête GraphQL inline non testable sans mock HTTP, risque d'échec silencieux si ticketId ou documents sont null/undefined
• useShareForm.ts : coproPreferenceSendByMail peut être undefined - la logique 'no_notification' par défaut n'est pas testée, risque de ne jamais envoyer de notifications
• ticket.ts : attachments typé any[] - aucune validation structurelle des pièces jointes, risque d'envoi d'emails avec données corrompues
• Aucun test d'intégration pour le flux complet : création ticket → récupération documents → envoi email avec pièces jointes
• Régression potentielle : suppression du contrôle manuel notifyByEmail sans test confirmant que coproPreferenceSendByMail couvre tous les cas d'usage

• Injection GraphQL dans createTicket.js : l'interpolation `${ticketId}` dans la requête empêche le caching Apollo et expose à une injection de fragments GraphQL. Impact production : erreurs silencieuses et faille de sécurité. Correction : utiliser des variables paramétrées `$ticketId` avec `variables: { ticketId }`.
• Typage `any[]` dans ticket.ts ligne 11 : contourne TypeScript et propage l'insécurité de type à tous les consommateurs de `sendTicketMail`. Impact production : erreurs de type non détectées à la compilation. Correction : définir `interface Attachment { name: string; kdriveId: string }` et remplacer `any[]` par `Attachment[]`.
• Accès imbriqué sans null-checks dans createTicket.js : `response.data.ticket.data.attributes.documents.data.map` traverse 6 niveaux sans optional chaining. Impact production : `TypeError: Cannot read property of undefined` en cas de réponse partielle. Correction : utiliser optional chaining (`?.`) à chaque niveau.
• Absence de gestion d'erreurs dans `getAttachments` : aucun try/catch. Impact production : un échec réseau empêche silencieusement l'envoi d'email sans logging ni notification. Correction : ajouter try/catch avec logging et fallback gracieux.
• Code mort résiduel : le flag `noMailNotification` subsiste dans createTicket.js alors que le bouton manuel a été supprimé. Impact maintenance : logique conditionnelle obsolète qui prête à confusion. Correction : supprimer la condition `!noMailNotification` et le flag associé.

Tour 2 : Préoccupations et questions

• RÉGRESSION UX CONFIRMÉE : documentShareOptionsValidator.ts supprime notifyByEmail (lignes 5-7), retirant le contrôle ponctuel utilisateur. Les préférences preference_send_by_mail (getDocumentInfo.ts lignes 63-73) ne permettent pas de désactiver exceptionnellement une notification. Impact métier : frustration utilisateur pour les documents sensibles nécessitant une discrétion temporaire.
• RISQUE OPÉRATIONNEL CRITIQUE : createTicket.js getAttachments() (+39 lignes) n'a aucun try/catch. Scénario production : échec réseau → email envoyé sans pièces jointes → destinataire ne reçoit pas le document → expéditeur croit le partage effectué. Impact métier : perte de confiance utilisateur et litiges potentiels sur la réception de documents officiels.
• VULNÉRABILITÉ SÉCURITÉ : createTicket.js interpolation ${ticketId} dans la requête GraphQL permet injection. Même si ticketId est généré serveur, cela viole les pratiques OWASP et crée un précédent organisationnel dangereux pour les développeurs futurs.
• RISQUE DE PRODUCTION : response.data.ticket.data.attributes.documents.data.map() traverse 6 niveaux sans optional chaining dans createTicket.js. Toute réponse API partielle Strapi cause un TypeError bloquant le processus complet de création de ticket.
• DETTE FONCTIONNELLE : Le flag noMailNotification subsiste en code mort dans createTicket.js alors que le contrôle manuel a été retiré. Un développeur futur pourrait réactiver cette logique par erreur, créant un comportement inattendu.

• Typage any[] sur attachments dans ticket.ts ligne 11 : remplacer par interface Attachment { name: string; kdriveId: string } pour assurer la cohérence contractuelle entre getAttachments et sendTicketMail - dette 0.5h
• Absence de try/catch dans getAttachments (createTicket.js) : un échec réseau GraphQL fera planter le handler API complet avec erreur 500. Ajouter try/catch avec logging et fallback sur tableau vide - dette 0.5h
• Optional chaining manquant sur response.data.ticket.data.attributes.documents.data.map dans getAttachments - risque TypeError si schéma Strapi modifié - dette 0.5h
• Flag noMailNotification résiduel dans createTicket.js : code mort à supprimer puisque le contrôle manuel a été retiré de l'UI - dette 0.5h
• Interpolation GraphQL ${ticketId} dans getAttachments : pas une vulnérabilité d'injection (ticketId est serveur-généré via Strapi), mais devrait migrer vers variables paramétrées $ticketId pour permettre le caching Apollo - dette 0.5h

• Injection GraphQL par interpolation de chaînes - risque atténué mais pratique incorrecte empêchant le caching Apollo
• Typage any[] pour attachments - contournement de TypeScript propageant l'insécurité de type, reconnu par l'auteur
• Accès profond à 6 niveaux sans optional chaining - risque de TypeError en production sur réponse partielle
• Absence de gestion d'erreur dans getAttachments - échec silencieux sans logging ni notification
• Aucun test unitaire ni d'intégration pour les nouvelles fonctionnalités (pièces jointes, préférences de notification)

• COUVERTURE ZÉRO : Aucun fichier de test modifié ou créé pour 8 fichiers changés avec logique métier critique
• INTESTABLE : getAttachments() avec requête GraphQL inline et interpolation de chaîne rend le mocking complexe et fragile
• RÉGRESSION NON TESTÉE : Suppression du contrôle manuel notifyByEmail remplacé par coproPreferenceSendByMail sans test validant le comportement par défaut
• TYPE UNSAFE : attachments?: any[] contourne TypeScript et empêche la validation structurelle par tests de type
• ACCÈS PROFOND FRAGILE : 6 niveaux de propriétés sans optional chaining - un mock incomplet en test d'intégration provoquera des faux positifs

• CRITIQUE : Absence de null-checks sur l'accès profond response.data.ticket.data.attributes.documents.data - risque de TypeError en production sur réponse partielle
• CRITIQUE : Aucune gestion d'erreurs dans getAttachments - un échec GraphQL fera planter le handler API sans logging ni fallback
• MODÉRÉ : Interpolation de chaînes dans la requête GraphQL contourne le caching Apollo et viole les bonnes pratiques de requêtes paramétrées
• MODÉRÉ : Typage any[] pour attachments propage l'insécurité de type à travers toute la chaîne d'appel - une interface DocumentAttachment explicite est nécessaire
• MODÉRÉ : createTicket.js accumule des responsabilités sans refactorisation - getAttachments devrait être dans un module de requêtes réutilisable

Tour 3 : Validation

• RÉGRESSION UX CONFIRMÉE : documentShareOptionsValidator.ts supprime notifyByEmail (3 lignes). La préférence globale preference_send_by_mail ne permet pas d'exception temporaire pour documents sensibles. Impact métier direct : envoi accidentel de documents confidentiels sans option de désactivation.
• RISQUE OPÉRATIONNEL CRITIQUE : createTicket.js getAttachments() (+39 lignes) sans try/catch. Scénario production : échec réseau GraphQL → email envoyé sans pièce jointe → expéditeur croit partage effectué → destinataire ne reçoit pas le document. Impact : litiges sur documents officiels, perte de confiance.
• ACCÈS PROFOND FRAGILE : response.data.ticket.data.attributes.documents.data.map() traverse 6 niveaux sans optional chaining. Modification schéma Strapi → TypeError bloquant création de ticket complète.
• DETTE SOUS-ESTIMÉE : auteur estime 2.5h (5 items × 0.5h) mais exclut tests manquants (4-6h). Dette réelle : 8h incluant corrections techniques + tests unitaires et intégration.
• ZÉRO TEST : 0 fichier de test pour 8 fichiers modifiés avec logique métier critique (envoi emails, pièces jointes, préférences notification). Régression silencieuse en production sans filet de sécurité.

• 1. Typage any[] sur attachments (ticket.ts) - créer interface Attachment - dette 0.5h
• 2. Absence try/catch dans getAttachments (createTicket.js) - risque 500 sur échec réseau - dette 0.5h
• 3. Optional chaining manquant sur 6 niveaux d'accès profond - dette 0.5h
• 4. Code mort noMailNotification résiduel - dette 0.5h
• 5. Requête GraphQL inline ${ticketId} - migrer vers $ticketId pour caching Apollo - dette 0.5h

• Accès profond à 6 niveaux sans optional chaining dans getAttachments - risque TypeError en production sur réponse partielle Strapi
• Absence de try/catch dans getAttachments - échec réseau GraphQL cause erreur 500 sans logging ni fallback
• Typage any[] pour attachments propage l'insécurité de type à travers toute la chaîne d'appel
• Interpolation GraphQL ${ticketId} empêche le caching Apollo et viole les bonnes pratiques de requêtes paramétrées
• Zéro couverture de test pour les nouvelles fonctionnalités critiques (pièces jointes, préférences de notification)

• COUVERTURE 0% : 0 fichier de test sur 8 fichiers modifiés contenant 3 fonctions critiques non testées
• RÉGRESSION NOTIFYBYEMAIL : Suppression validateur (3 lignes) sans test vérifiant la parité avec coproPreferenceSendByMail
• ANTI-PATTERN TESTABILITÉ : getAttachments() requête GraphQL inline + interpolation ${ticketId} empêche tests unitaires isolés
• ACCÈS PROFOND FRAGILE : 6 niveaux sans optional chaining dans getDocumentInfo.ts lignes 63-73 génère des faux positifs en test
• TYPE UNSAFE : attachments?: any[] dans ticket.ts ligne 11 contourne TypeScript et empêche tests de contrat

• CRITIQUE : Interpolation GraphQL (${ticketId}) - l'argument de sécurité de l'auteur est partiel : le problème architectural principal est le contournement du cache Apollo et la violation du pattern de requêtes paramétrées, pas l'injection
• CRITIQUE : Absence de gestion d'erreurs dans getAttachments - un échec réseau provoque un crash silencieux du handler API sans logging ni fallback
• CRITIQUE : Zéro couverture de tests pour 8 fichiers avec logique métier critique - dette la plus significative et la plus coûteuse à rembourser
• MODÉRÉ : Violation SRP dans createTicket.js - accumulation de responsabilités sans refactorisation vers un module de requêtes réutilisable
• MODÉRÉ : Typage any[] pour attachments - propage l'insécurité de type à travers toute la chaîne d'appel, contournant le système de types TypeScript