# Bienvenue sur l'espace Gitlab de l'application ALTO3 de la DGFiP.
...
...
@@ -19,10 +18,12 @@ Le code source utilisé par ce module Testeur est le même que celui utilisé pa
Il est important de noter que **le contrôle du FEC se fait exclusivement sur le poste de l'utilisateur** : le module Testeur réalise les contrôles uniquement en local, et aucune connexion réseau n'est établie vers quelque serveur externe que ce soit.
## Caractéristiques techniques du module Testeur
* language Java
* Java Runtime Environment version 1.8+ uniquement
* Java Runtime Environment version 1.8+ uniquement, testé et fonctionnel également sous OpenJDK 13, 15 et 17
## Ressources mises à disposition
...
...
@@ -34,35 +35,43 @@ Il est important de noter que **le contrôle du FEC se fait exclusivement sur le
* Méthodologie pour vérifier l'intégrité du fichier jar
### Guide utilisateur pour utiliser le module testeur
<wip>
/ travail en cours /
NB : dans le cadre du contrôle de conformité d'un fichier FEC fournit au format XML, la validité du XML sera testée au regard des fichiers descriptifs XSD prévus dans le cadre législatif. En cas de conformité aux fichiers XSD, alors le fichier FEC XML sera converti en fichier plat, pour ensuite être testé au regar de sa conformité dans le cadre du contrôle.
### Code source de l'application
<wip>
/ travail en cours /
### Fichier jar executable
<wip>
/ travail en cours /
### Condensat du fichier jar (fichier et ressource directement sur le gitlab) pour vérifier son intégrité
Voici le condensat SHA256 pour la version v<wip> du module Testeur : <SHA-256>
Voici le condensat SHA256 pour la version v<wip> du module Testeur : <insérerleSHA-256delaversioncourante>
Le fichier contenant ce condensat est également disponible en téléchargement : <insérerleliendetéléchargementdufichierdecondensatdelaversionactuelle>
Le fichier contenant ce condensat est également disponible en téléchargement : <liendetéléchargementdufichierdecondensatdelaversionactuelle>
### Méthodologie pour vérifier la signature du fichier jar
Le fichier Jar executable mis à disposition sur la présente page est signé avec la clé privée de la DGFIP. Afin de vérifier la conformité de cette signature, la procédure suivante est proposée :
Utiliser l'utilitaire fournit par Java : **jarsigner**
(NB : jarsigner n'est pas installé par défaut avec Java Runtime Environment, il est donc nécessaire de se procurer préalablement la version adaptée à votre installation de java).
(NB : jarsigner n'est pas installé par défaut avec Java Runtime Environment, il est donc nécessaire de se procurer préalablement la version adaptée à votre installation de java).
Une fois jarsigner disponible dans votre environnement, à partir d'une fenêtre de commande (cmd), depuis le répertoire contenant le fichier Jar du testeur, exécuter la commande :
...
...
@@ -86,20 +95,22 @@ jar verified.
Dans l'exemple présenté ci dessus, la commande indique "jar verified" qui atteste que le fichier téléchargé a bien été signé avec le certificat de la DGFIP.
### Méthodologie pour vérifier l'intégrité du fichier jar
Voici les méthodes qui peuvent être utilisées pour tester l'intégrité du fichier téléchargé, avant son execution, selon votre environnement.
NB : Hypothèse : le fichier "alto3-testeur-execSigned.sha256" contient une seule ligne contenant le sha256 du fichier jar mis à disposition.
Si les condensats sont identiques, la commande retourne "True".
Si les condensats ne sont pas identiques, la commande retourne "False".
##### Sous Windows : batch :
##### Sous Windows : batch
La commande certutil ne permet pas de réaliser automatiquement la comparaison entre une clé générée et une clé fournie. La comparaison doit donc être "visuelle" :
