# Security Improvement Registry

| ID | Area | Rischio | Priorita | Impatto | Costo | Rischio regressione | Evidenza base | Stato |
|---|---|---|---|---|---|---|---|---|
| SEC-01 | Autenticazione | Policy login non verificata, lockout/throttling non documentati | P1 | Alto | Medio | Medio | `cruge_rbac_authentication.md`, `configuration_and_environments.md` | Proposta |
| SEC-02 | Sessioni | Cookie/session hardening non esplicitato | P1 | Alto | Basso-medio | Basso | `structure_and_functions.md`, `sophia_customizations.md` | Proposta |
| SEC-03 | RBAC | Divergenza tra menu, action e controllo server-side | P1 | Alto | Medio | Medio | `menu_and_permissions_management.md`, `cruge_rbac_authentication.md` | Proposta |
| SEC-04 | Export | Esposizione di dati sensibili e valori non normalizzati | P2 | Alto | Medio | Medio | `export_management.md`, `structure_and_functions.md` | Proposta |
| SEC-05 | Costanti runtime | Modifiche non controllate a configurazione sensibile | P2 | Alto | Medio | Medio | `costants_management.md` | Proposta |
| SEC-06 | Error handling | Leak informativi via errori e log | P2 | Medio-alto | Basso | Basso | `structure_and_functions.md`, `sophia_customizations.md` | Proposta |
| SEC-07 | Configurazione | Segreti e differenze ambiente non formalizzati | P3 | Medio-alto | Medio | Basso-medio | `configuration_and_environments.md` | Proposta |

## Regole di lettura

- `Priorita` ordina il backlog secondo urgenza e valore di riduzione rischio.
- `Impatto` sintetizza il beneficio atteso sulla superficie di attacco.
- `Costo` stima lo sforzo tecnico/documentale principale.
- `Rischio regressione` considera la probabilita di rompere comportamenti legacy o flussi amministrativi.

## Note operative

- Il registro e pensato per essere esteso con nuove voci senza cambiare struttura.
- Le voci fanno riferimento solo a evidenze consolidate nel corpus locale.
- Le remediation sono volutamente specifiche al layer framework e non generiche.

## Scopo
Descrivere obiettivo operativo e risultato atteso.

## Perimetro
Definire modulo, confini funzionali e prerequisiti.

## Flusso
1. Input e contesto.
2. Esecuzione del processo.
3. Output e verifica.

## Componenti
- Controller/servizi.
- Model e tabelle.
- Job/log/integrazioni correlate.

## Failure mode
- Errori ricorrenti.
- Cause tipiche.
- Segnali diagnostici.

## Checklist
- Pre: prerequisiti validati.
- Post: outcome e coerenza dati verificati.

## Criteri di accettazione
Contenuto azionabile, verificabile e coerente con il codice.