PayCal Technologies Inc.

सुरक्षा ऑडिट स्थिति

कोड, परीक्षण और रिलीज़ गवर्नेंस में नियंत्रण-दर-वास्तुकला सुरक्षा उपायों को लागू करने के साथ PayCal 2026-03-24 तक PASS स्थिति में बना हुआ है।

Published:

सत्यापन मेटाडेटा

रूट मेटाडेटा

  • मार्ग: /transparency/security-audit/
  • वर्तमान स्थिति: पास
  • अंतिम बार सत्यापित:
  • अगली समीक्षा देय:

साक्ष्य स्रोत

  • docs/security/GEMINI_SECURITY_AUDIT_HANDOFF_AUDITOR_2026-03-23.md
  • docs/SECURITY_INTERROGATION_EVIDENCE_2026-03-23.md
  • docs/security/PHASE_CLOSURE_PROGRAM.md

यह पृष्ठ सार्वजनिक-सामना की स्थिति का सारांश प्रस्तुत करता है; विस्तृत तकनीकी साक्ष्य लिंक किए गए भंडार कलाकृतियों में मौजूद हैं।

पास चक्र 1.042-1.043 में दायरा बंद

  • वर्कस्ट्रीम ए: ब्रोकर-मूल्यांकन, इनकार-सुरक्षित लिफाफे के माध्यम से सहसंबंध शासन केंद्रीकृत।
  • वर्कस्ट्रीम बी: टेलीमेट्री क्वेरी गवर्नेंस को स्ट्रीम-स्कोप्ड टोकन और क्रॉस-स्ट्रीम जॉइन इनकार के साथ लागू किया गया।
  • वर्कस्ट्रीम सी: सिंगलटन सुपरएडमिन और म्यूटेशन गार्ड प्रवर्तन के साथ विशेषाधिकार प्राप्त भूमिका नियंत्रण को सख्त किया गया।
  • वर्कस्ट्रीम डी: रनटाइम डिक्रिप्टेड-डेटा जीवनचक्र नियंत्रण पूरा हो गया, जिसमें जीवनचक्र शून्यीकरण और डीओएम संवेदनशीलता स्क्रब व्यवहार शामिल है।
  • वर्कस्ट्रीम ई: सीएसपी नॉन + सख्त-गतिशील नीति और उत्पादन मार्गों में उल्लंघन अंतर्ग्रहण प्रवर्तन।
  • वर्कस्ट्रीम एफ: इनकार प्रतिगमन कवरेज के साथ उच्च जोखिम वाले व्यवस्थापक उत्परिवर्तन के लिए एक-शॉट क्षमता टोकन गेट।
  • वर्कस्ट्रीम जी: पासकी प्रवाह और नियतात्मक क्रेडेंशियल-व्युत्पन्न केईके शासन के लिए ब्राउज़र क्रेडेंशियल-ब्रिज निष्कासन।
  • वर्कस्ट्रीम एच: टेलीमेट्री हुक के साथ रनटाइम इंटीग्रिटी मॉनिटर स्टेट मशीन (सुरक्षित/डिग्रेडेड/लॉक/टर्मिनेटेड)।
  • वर्कस्ट्रीम I: अपडेटेड कवरेज एंकर के साथ गार्जियन सैनिटाइजर चयनकर्ता/स्टाइल हार्डनिंग।

सत्यापन स्नैपशॉट (2026-03-24)

गेट नतीजा प्रमाण
नाटककार जीवनचक्र धुआं पास 8 उत्तीर्ण
जेएस लिंट और सिंक की जाँच करता है पास npm run test:js
PHPStan सख्त (स्तर 9) पास [OK] No errors
बैकएंड PHPUnit सुइट पास 1,212 सूचीबद्ध परीक्षण (रिलीज़ सत्यापन पास हो रहे हैं)

रनटाइम जीवनचक्र समापन सारांश

  • इन-मेमोरी क्रिप्टो स्थिति को नेविगेशन और जीवनचक्र सीमाओं पर शून्य किया गया है।
  • हिडन-टैब विलंबित समाप्ति में अब अनलॉक-स्टेट शून्यीकरण प्रमाण शामिल है।
  • DOM सेंसिटिविटी स्क्रब राज्य रीसेट से पहले रनटाइम पेलोड ट्रेस को साफ़ करता है।
  • नियतात्मक पुन: अनलॉक और पुनर्प्राप्ति व्यवहार का प्रतिगमन-परीक्षण किया जाता है।

रखरखाव प्रतिबद्धताएँ

PASS स्थिति को संरक्षित करने के लिए, निम्नलिखित रिलीज़ अवरोधक बने रहेंगे:

उपयोग का मामला: एक असुरक्षित रिलीज़ को अवरुद्ध करना

यदि कोई रिलीज उम्मीदवार जीवनचक्र शून्यीकरण या सीएसपी प्रवर्तन में प्रतिगमन का परिचय देता है, तो ये अवरोधक द्वार नियंत्रण और परीक्षण बहाल होने तक पदोन्नति को रोक देते हैं, जिससे कमजोर स्थिति को उत्पादन तक पहुंचने से रोका जा सकता है।

  • tests/smoke-ui/dev-bypass-smoke.spec.js lifecycle regression suite.
  • composer run phpstan:strict with no baseline policy exceptions.
  • रिलीज़ उम्मीदवारों पर पूर्ण बैकएंड टेस्ट सूट और जेएस सुरक्षा जांच।

किसी भी कैलेंडर जीवनचक्र, क्रिप्टो-स्थिति, या DOM रेंडरिंग परिवर्तनों में रिलीज़ से पहले संबंधित प्रतिगमन अद्यतन शामिल होना चाहिए।