Message de l’équipe Grist.Gouv pour les utilisateur·ices des instances ANCT et DINUM :
- Nous recommandons uniquement l’utilisation des custom widgets (vues personnalisées) présents dans la bibliothèque de widgets personnalisés
En effet, les custom widgets peuvent contenir du code malveillant ou des failles de sécurité (que ce soit ceux ajoutés via le « custom url » ou le code ajouté directement via le « custom widget builder »)
-
Vous pouvez tester les autres custom widgets en toute sécurité en créant un document de test, et un compte de service associé à ce document.
-
Si vous souhaitez utiliser d’autres custom widgets sur vos documents de production, vous pouvez les faire valider par votre Délégué à la Protection des Données et votre RSSI, cf ici
-
Si besoin de fournir une clé API, utilisez toujours des comptes de service plutôt que votre clé api personnelle (qui donnerait accès à tous vos documents si elle venait à fuiter)
-
Ne donnez à un custom widget l’accès à votre document que si vous êtes dans un des cadres cités précédemment.
Les custom widgets sont une véritable force de l’outil, et voici les actions que nous souhaitons prendre pour pouvoir poursuivre les joyeuseries en toute sérénité :
- Nous allons régulièrement sélectionner des widgets, n’hésitez-pas à nous remonter ceux qui vous seraient les plus utiles
- Nous allons auditer cette séléction de widgets - et seuls ceux dignes de confiance après audit, et maintenables seront ajoutés à nos instances (par exemple, les custom widgets dont le vibecode a produit du code illisible par les humains ne seront pas retenus)
- Nous allons proposer un guide de contribution, pour donner des lignes directrices pour le développement des custom widgets - pour qu’ils soient potentiellement intégrables aux instances de l’Etat
- Nous allons ajouter un bandeau préventif aux posts forum présentant des widgets personnalisés. Nous mettrons aussi en place de la sensibilisation sur nos canaux internes.