f33b2dd319
Intégration Sentry SaaS pour error monitoring + replay sur les 2 apps.
API (apps/api) :
- start/sentry.ts : init au plus tôt dans bin/server.ts (avant Ignitor)
pour capturer les erreurs de bootstrap. No-op si SENTRY_DSN_API absent.
- app/exceptions/handler.ts:report : captureException sur les 5xx avec
tags { url, method, status } et user.id (PII minimisée). 4xx filtrés
par beforeSend dans start/sentry.ts (validation, auth invalide = bruit).
- start/env.ts : SENTRY_DSN_API + APP_VERSION optionnels.
- bin/server.ts : import #start/sentry en 1er.
- @sentry/node + @sentry/profiling-node ajoutés au package.json.
Web (apps/web) :
- src/lib/sentry.ts : init au plus tôt dans main.tsx, BrowserTracing +
Replay (0% session, 100% sur erreur — économie quota free tier).
maskAllText + blockAllMedia pour privacy par défaut.
- src/lib/auth.ts : Sentry.setUser({ id }) au login, setUser(null) au
logout (corrélation cross-stack des erreurs front avec un user).
- src/main.tsx : ErrorBoundary autour de l'app avec FallbackError UX.
- vite.config.ts : @sentry/vite-plugin uploads les sourcemaps + les
SUPPRIME du dist/ final (filesToDeleteAfterUpload) pour ne pas leak
le code source via nginx en prod. Helper resolveAppVersion() pour
injecter le sha git en dev (le shell n'étant pas évaluable dans .env).
- src/lib/env.ts : VITE_SENTRY_DSN_WEB + VITE_APP_VERSION optionnels.
- .env.development : VITE_SENTRY_DSN_WEB (préfixé correctement pour
être exposé par Vite — l'ancienne SENTRY_DSN ne marchait pas).
- @sentry/react + @sentry/vite-plugin ajoutés au package.json.
CI Gitea :
- deploy-api.yml : kubectl set env APP_VERSION=${{ github.sha }}
runtime → release Sentry trackable au commit pour l'API.
- deploy-web.yml : build-args VITE_SENTRY_DSN_WEB, VITE_APP_VERSION,
SENTRY_AUTH_TOKEN, SENTRY_ORG injectés depuis les secrets Gitea.
- Dockerfile.web : ARG correspondants + propagation au stage build.
Privacy / sécurité (cf. ADR-024) :
- captureException tags : ctx.route?.pattern (pas l'URL réelle) →
les codes OAuth (?code=...) et tokens de check-in n'apparaissent
jamais dans les tags Sentry indexés.
- Sentry user context = user.id UUID seulement, pas d'email/nom.
- Sourcemaps en prod : uploadées à Sentry, supprimées du bundle.
- 4xx filtrées en amont (beforeSend) ET en aval (handler.ts:report).
- DSN public (by-design) commit-able, AUTH_TOKEN secret CI uniquement.
Sample rates (free tier 5K events / 50 replays par mois) :
- traces : 10% prod, 100% dev
- profiles : 100% (sampled par traces)
- replay session : 0% (économie quota)
- replay sur erreur : 100% (debug post-mortem)
Pré-requis runtime à configurer hors-repo :
- Secret K3s rubis-app-secrets : SENTRY_DSN_API
- Secrets Gitea Actions : SENTRY_DSN_WEB, SENTRY_AUTH_TOKEN, SENTRY_ORG
ADR-024 logué dans docs/decisions.md.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
79 lines
2.7 KiB
TypeScript
79 lines
2.7 KiB
TypeScript
import path from "node:path";
|
|
import { execSync } from "node:child_process";
|
|
import { defineConfig } from "vite";
|
|
import react from "@vitejs/plugin-react";
|
|
import tailwindcss from "@tailwindcss/vite";
|
|
import { TanStackRouterVite } from "@tanstack/router-plugin/vite";
|
|
import { sentryVitePlugin } from "@sentry/vite-plugin";
|
|
|
|
// Git sha local — utilisé en dev quand on n'a pas APP_VERSION du CI.
|
|
// En prod c'est le CI qui passe APP_VERSION=${{ github.sha }} en build-arg.
|
|
function resolveAppVersion(): string {
|
|
if (process.env.APP_VERSION) return process.env.APP_VERSION;
|
|
try {
|
|
return execSync("git rev-parse --short HEAD").toString().trim();
|
|
} catch {
|
|
return "dev";
|
|
}
|
|
}
|
|
|
|
// Sentry source map upload — actif uniquement si SENTRY_AUTH_TOKEN est défini
|
|
// (typiquement injecté par le CI Gitea, pas en local). Sans ça, les stack
|
|
// traces dans Sentry seraient illisibles (JS minifié).
|
|
//
|
|
// `filesToDeleteAfterUpload` est CRITIQUE : sans ça les .map sont copiés
|
|
// dans le dist/ → COPY-és dans l'image Docker → servis par nginx → leak
|
|
// du code source du SPA en prod. Avec ça, Sentry a les sourcemaps pour
|
|
// désobfusquer les stack traces, et nginx ne sert plus que les .js minifiés.
|
|
const sentryPlugin = process.env.SENTRY_AUTH_TOKEN
|
|
? sentryVitePlugin({
|
|
org: process.env.SENTRY_ORG ?? "rubis",
|
|
project: "rubis-web",
|
|
authToken: process.env.SENTRY_AUTH_TOKEN,
|
|
sourcemaps: {
|
|
assets: ["./dist/**"],
|
|
filesToDeleteAfterUpload: ["./dist/**/*.map"],
|
|
},
|
|
release: { name: process.env.APP_VERSION ?? "dev" },
|
|
})
|
|
: null;
|
|
|
|
const APP_VERSION = resolveAppVersion();
|
|
|
|
// https://vite.dev/config/
|
|
export default defineConfig({
|
|
// Injecte VITE_APP_VERSION dans `import.meta.env` au build/dev sans avoir
|
|
// à l'écrire dans .env (où on ne peut pas évaluer du shell). En CI, le
|
|
// build-arg APP_VERSION est passé via process.env et override.
|
|
define: {
|
|
"import.meta.env.VITE_APP_VERSION": JSON.stringify(APP_VERSION),
|
|
},
|
|
plugins: [
|
|
// Doit être déclaré AVANT react() (cf. doc TanStack Router).
|
|
TanStackRouterVite({
|
|
routesDirectory: "./src/routes",
|
|
generatedRouteTree: "./src/routeTree.gen.ts",
|
|
autoCodeSplitting: true,
|
|
}),
|
|
react(),
|
|
tailwindcss(),
|
|
// Sentry doit être en dernier pour ne uploader que les artefacts finaux.
|
|
...(sentryPlugin ? [sentryPlugin] : []),
|
|
],
|
|
resolve: {
|
|
alias: {
|
|
"@": path.resolve(__dirname, "./src"),
|
|
},
|
|
},
|
|
server: {
|
|
port: 5173,
|
|
strictPort: true,
|
|
},
|
|
build: {
|
|
// Source maps requises pour que Sentry désobfusque les stack traces.
|
|
// En prod, le sentryPlugin les supprime du dist/ après upload pour
|
|
// qu'elles ne soient pas servies publiquement par nginx.
|
|
sourcemap: true,
|
|
},
|
|
});
|