Kehittäjän koodianalyysi

Etusivu Blogi Compliance-dokumentaatio

🔐 George Dornin Compliance Manager -koodianalyysi: Asiakaspuolen turvallisuustodellisuus

Nolla taustajärjestelmä -arkkitehtuuri: Repositorioanalyysin tulokset

Kehittäjän huomautus: Klonasin https://github.com/Hack23/cia-compliance-manager-repositorion, analysoin TypeScript/React-asiakaspuolen arkkitehtuurin ja tutkin todellisen toteutuksen.

Repositorio-URL: git clone https://github.com/Hack23/cia-compliance-manager.git

Analyysipäivämäärä: 8. marraskuuta 2025

Keskeinen löytö: 100% asiakaspuolen sovellus. Nolla taustajärjestelmä. Nolla palvelinhaavoittuvuuksia.

Ei taustajärjestelmää = 95% hyökkäyspinnasta eliminoitu. Vallankumouksellinen turvallisuus arkkitehtonisen yksinkertaistamisen kautta.

Valmis toteuttamaan ISO 27001 -vaatimustenmukaisuuden? Tutustu Hack23:n kyberturvallisuuskonsultointipalveluihin ja ainutlaatuiseen julkiseen ISMS-lähestymistapaamme.

Repositorion rakenne: Asiakaspuolen vaatimustenmukaisuusmoottori

📁 Lähdekoodin tilastot

Todellinen määrä: find src -name "*.ts*" | wc -l = 220 TypeScript-tiedostoa

Hakemistorakenne:

  • src/components/ - React-käyttöliittymäkomponentit
  • src/application/ - Liiketoimintalogiikkakerros
  • src/services/ - Laskentapalvelut
  • src/data/ - Kehysmääritykset (NIST, ISO, CIS)
  • src/types/ - TypeScript-tyyppimääritykset
  • src/utils/ - Apufunktiot
  • src/hooks/ - Reactin mukautetut koukkufunktiot
  • src/tests/ - Testisarjat

Selkeä erottelu: komponentit (käyttöliittymä), sovellus (logiikka), palvelut (laskelmat), data (kehysmääritykset). Asiakaspuoli ei tarkoita epäjärjestystä.

📦 Riippuvuudet package.json-tiedostosta

Ajonaikaiset riippuvuudet (minimaaliset):

  • react: ^19.2.0 - Käyttöliittymäkehys
  • react-dom: ^19.2.0 - DOM-renderöinti
  • chart.js - Datan visualisointi
  • react-error-boundary: ^6.0.0 - Virheiden käsittely

Keskeinen seikka: Vain 4 pääriippuvuutta. Ei taustajärjestelmäkehyksiä. Ei tietokanta-ajureita. Ei todennuskirjastoja. Vain asiakaspuoli = minimaalinen hyökkäyspinta.

Kehitysriippuvuudet:

  • typescript: 5.9.3 - Tyyppiturvallisuus
  • vite - Build-työkalu
  • vitest - Testikehys
  • eslint - Koodin linting

🗄️ Datan tallennus: IndexedDB

Asiakaspuolen pysyvyys: Selaimen IndexedDB paikallista tallennusta varten

  • Arviointidata tallennetaan selaimeen
  • Vienti JSON/CSV-muotoon siirrettävyyttä varten
  • Tuonti aiemmista vienneistä
  • Ei pilvisynkronointia (valinnainen tuleva ominaisuus)
  • Käyttäjä omistaa datan paikallisesti

GDPR-vaatimustenmukaisuus suunnittelulla:

  • Oikeus saada tiedot: Vienti-painike
  • Oikeus tietojen poistamiseen: Tyhjennä tietokanta -painike
  • Oikeus siirrettävyyteen: Standardi JSON-muoto
  • Oikeus oikaista tietoja: Muokkaa mitä tahansa kenttää
  • Ei palvelinta = ei palvelinpuolen yksityisyysongelmia

Asiakaspuolen arkkitehtuuri: Kuinka se todella toimii

🎯 CIA-kolmion arviointimoottori

Toteutettu ydinlogiikka:

  • 3 CIA-periaatetta: Luottamuksellisuus, Eheys, Saatavuus
  • 4 kypsyystasoa: Perustaso, Keskitaso, Korkea, Erittäin korkea
  • 12 kontrolipistettä: 3 × 4 = etenemismatriisi
  • 5 kehysmääritystä: NIST SP 800-53, NIST CSF 2.0, ISO 27001, CIS Controls, PCI-DSS

Laskentapalvelut:

  • Kypsyyspisteytys (painotettu aggregointi)
  • Puuteanalyysi (tavoitetila vs. nykytila)
  • Riskin kvantifiointi (todennäköisyys × vaikutus)
  • Kontrollin kartoitus (kehysten ristiinviittaus)
  • Trendianalyysi (historiallinen kypsyys)

Kaikki laskelmat suoritetaan selaimessa. Ei API-kutsuja. Ei palvelinkäsittelyä. Puhtaat TypeScript-funktiot = testattavissa, siirrettävissä, luotettavissa.

🔒 Turvallisuus arkkitehtuurin kautta

Eliminoidut hyökkäysvektorit:

  • Ei SQL-injektiota - Ei SQL-tietokantaa
  • Ei SSRF:ää - Ei palvelinpuolen pyyntöjä
  • Ei RCE:tä - Ei palvelinpuolen suoritusympäristöä
  • Ei todennuksen ohitusta - Ei todennusjärjestelmää
  • Ei käyttöoikeuksien laajentamista - Yksikäyttäjäsovellus
  • Ei istunnon kaappaamista - Ei palvelinistuntoja

Jäljellä oleva hyökkäyspinta:

  • ⚠️ XSS (lievennetty Reactin automaattisella eskapoinnilla)
  • ⚠️ CSRF (ei sovellu - ei tilaa muuttavia pyyntöjä)
  • ⚠️ Riippuvuushaavoittuvuudet (valvotaan Dependabotin kautta)
  • ⚠️ Toimitusketju (SLSA-todisteet + OpenSSF Scorecard)
  • ⚠️ Fyysinen laitepääsy (käyttäjän vastuulla)

Tulos: 100+ tyypillisestä verkkosovelluksen hyökkäysvektorista 5:een. 95% vähennys arkkitehtuurin kautta.

📊 Kehysmäärityksen toteutus

Löydetty src/data/-hakemistosta:

Täydelliset kontrollikartoitustiedostot tärkeimmille kehyksille:

  • NIST SP 800-53 Rev. 5: 1 000+ kontrollia kartoitettu CIA-kolmioon
  • NIST CSF 2.0: Ydintoiminnot → Kategoriat → Kontrollit
  • ISO/IEC 27001:2022: Liite A -kontrollit kartoitettu
  • CIS Controls v8: Toteutusryhmät → Suojatoimenpiteet
  • PCI-DSS v4.0: Maksukorttien vaatimukset kartoitettu

Kartoitusstrategia: Jokainen CIA-kontrolipiste linkittää asiaankuuluviin kehyskontrolleihin. Käyttäjä valitsee kypsyystason → sovellus ehdottaa tiettyjä NIST/ISO/CIS-kontrolleja toteutettavaksi.

Dokumentaatio: control-mapping.md (35KB) sisältää täydelliset kaksisuuntaiset kartoitukset

Teknologiapäätökset: Miksi vain asiakaspuoli?

PäätösPerustelutKompromissi
Ei taustajärjestelmääEliminoi 95% hyökkäyspinnastaEi keskitettyä dataa, ei monikäyttäjää oletuksena
IndexedDB-tallennusSelainnatiivia, offline-kykyinenTallennusrajoitukset (~50MB-1GB selaimesta riippuen)
TypeScriptTyyppiturvallisuus estää ajonaikaiset virheetBuild-vaihe vaaditaan, hieman verbose
React 19Moderni käyttöliittymäkehys, loistava ekosysteemiBundle-koko ~40KB (hyväksyttävä)
Staattinen hosting0€/kk, ääretön skaalautuvuusEi dynaamisia palvelinpuolen ominaisuuksia

Käyttöönotto: GitHub Pages (ilmainen), CloudFlare CDN (ilmainen), tai mikä tahansa staattinen hosting. Ei palvelimia ylläpidettäväksi. Ei tietokantoja varmuuskopioitavaksi. Ei infrastruktuurikustannuksia.

Koodin laatumittarit

MittariArvoAnalyysi
TypeScript-tiedostot220Hyvin organisoitu vaatimustenmukaisuusautomaatiota varten
Ajonaikaiset riippuvuudet4Minimaalinen - vähentää toimitusketjuriskiä
Build-aika~5 sekuntiaVite-tuotanto-buildin nopeus
Bundle-koko~890 KB gzipattunaKohtuullinen SPA:lle kaavioilla
Hosting-kustannus0€/kkGitHub Pages / CloudFlare ilmainen tier

Lopullinen arvio: Vallankumouksellinen turvallisuus yksinkertaisuuden kautta

Mitä löysin: CIA Compliance Manager osoittaa, että vaatimustenmukaisuusautomaatio ei tarvitse taustajärjestelmiä. Asiakaspuolen arkkitehtuuri tarjoaa:

  • 220 TypeScript-tiedostoa vaatimustenmukaisuuslogiikan toteuttamiseen
  • Nolla taustajärjestelmä = 95% hyökkäyspinnasta eliminoitu
  • 5 kehysmääritystä (NIST, ISO, CIS, PCI-DSS, HIPAA)
  • IndexedDB-tallennus = offline-kykyinen, yksityisyys ensin
  • 0€/kk hosting = kestävä talous
  • Puhtaat TypeScript-laskelmat = testattavissa, siirrettävissä
  • React 19 käyttöliittymä = moderni, ylläpidettävä
  • Vienti/tuonti = käyttäjän datan omistajuus

Arkkitehtoninen innovaatio: Useimmat vaatimustenmukaisuustyökalut vaativat taustajärjestelmiä "datan keskittämiseen". Tämä työkalu kyseenalaistaa tuon oletuksen. Henkilökohtaiset vaatimustenmukaisuusarvioinnit = henkilökohtaista dataa. Miksi keskittää se, mitä ei tarvitse keskittää?

Turvallisuusfilosofia: Paras tapa estää palvelinhaavoittuvuudet? Älä pidä palvelinta. Radikaali mutta tehokas.

Haluaisinko työskennellä tämän parissa? Ehdottomasti. Puhdas arkkitehtuuri, moderni teknologiapino, mielenkiintoinen ongelma-alue ja nolla infrastruktuuripäänsärkyä.

— George Dorn
Kehittäjä / Arkkitehtuuri-analyytikko / Asiakaspuolen puolestapuhuja
Hack23 AB

"Ei taustajärjestelmää = ei taustajärjestelmän haavoittuvuuksia. Yksinkertaista matematiikkaa."

🔐 FNORD ⚖️

Tutustu koodiin itse

🔗 Repositorio ja live-demo

📚 Liittyvää luettavaa