nora/CHANGELOG.md

Changelog

All notable changes to NORA will be documented in this file.

---

[0.2.12] - 2026-01-30

Added

Configurable Rate Limiting

• Rate limits now configurable via config.toml and environment variables
• New config section [rate_limit] with parameters: auth_rps, auth_burst, upload_rps, upload_burst, general_rps, general_burst
• Environment variables: NORA_RATE_LIMIT_{AUTH|UPLOAD|GENERAL}_{RPS|BURST}

Secrets Provider Architecture

• Trait-based secrets management (SecretsProvider trait)
• ENV provider as default (12-Factor App pattern)
• Protected secrets with zeroize (memory zeroed on drop)
• Redacted Debug impl prevents secret leakage in logs
• New config section [secrets] with provider and clear_env options

Docker Image Metadata

• Support for image metadata retrieval

Documentation

• Bilingual onboarding guide (EN/RU)

---

[0.2.11] - 2026-01-26

Added

• Internationalization (i18n) support
• PyPI registry proxy
• UI improvements

---

[0.2.10] - 2026-01-26

Changed

• Dark theme applied to all UI pages

---

[0.2.9] - 2026-01-26

Changed

• Version bump release

---

[0.2.8] - 2026-01-26

Added

• Dashboard endpoint added to OpenAPI documentation

---

[0.2.7] - 2026-01-26

Added

• Dynamic version display in UI sidebar

---

[0.2.6] - 2026-01-26

Added

Dashboard Metrics

• Global stats panel: downloads, uploads, artifacts, cache hit rate, storage
• Extended registry cards with artifact count, size, counters
• Activity log (last 20 events)

UI

• Dark theme (bg: #0f172a, cards: #1e293b)

---

[0.2.5] - 2026-01-26

Fixed

• Docker push/pull: added PATCH endpoint for chunked uploads

---

[0.2.4] - 2026-01-26

Fixed

• Rate limiting: health/metrics endpoints now exempt
• Increased upload rate limits for Docker parallel requests

---

[0.2.0] - 2026-01-25

Added

UI: SVG Brand Icons

• Replaced emoji icons with proper SVG brand icons (Simple Icons style)
• Docker, Maven, npm, Cargo, PyPI icons now render as scalable vector graphics
• Consistent icon styling across dashboard, sidebar, and detail pages

Testing Infrastructure

• Unit tests for LocalStorage (8 tests): put/get, list, stat, health_check
• Unit tests for S3Storage with wiremock HTTP mocking (11 tests)
• Integration tests for auth/htpasswd (7 tests)
• Token lifecycle tests (11 tests)
• Validation tests (21 tests)
• Total: 75 tests passing

Security: Input Validation (validation.rs)

• Path traversal protection: rejects ../, ..\\, null bytes, absolute paths
• Docker image name validation per OCI distribution spec
• Content digest validation (sha256:[64 hex], sha512:[128 hex])
• Docker tag/reference validation
• Storage key length limits (max 1024 chars)

Security: Rate Limiting (rate_limit.rs)

• Auth endpoints: 1 req/sec, burst 5 (brute-force protection)
• Upload endpoints: 10 req/sec, burst 20
• General endpoints: 100 req/sec, burst 200
• Uses tower_governor 0.8 with PeerIpKeyExtractor

Observability: Request ID Tracking (request_id.rs)

• X-Request-ID header added to all responses
• Accepts upstream request ID or generates UUID v4
• Tracing spans include request_id for log correlation

CLI: Migrate Command (migrate.rs)

• nora migrate --from local --to s3 - migrate between storage backends
• --dry-run flag for preview without copying
• Progress bar with indicatif
• Skips existing files in destination
• Summary statistics (migrated, skipped, failed, bytes)

Error Handling (error.rs)

• AppError enum with IntoResponse for Axum
• Automatic conversion from StorageError and ValidationError
• JSON error responses with request_id support

Changed

• StorageError now uses thiserror derive macro
• TokenError now uses thiserror derive macro
• Storage wrapper validates keys before delegating to backend
• Docker registry handlers validate name, digest, reference inputs
• Body size limit set to 100MB default via DefaultBodyLimit

Dependencies Added

• thiserror = "2" - typed error handling
• tower_governor = "0.8" - rate limiting
• governor = "0.10" - rate limiting backend
• tempfile = "3" (dev) - temporary directories for tests
• wiremock = "0.6" (dev) - HTTP mocking for S3 tests

Files Added

• src/validation.rs - input validation module
• src/migrate.rs - storage migration module
• src/error.rs - application error types
• src/request_id.rs - request ID middleware
• src/rate_limit.rs - rate limiting configuration

---

[0.1.0] - 2026-01-24

Added

• Multi-protocol support: Docker Registry v2, Maven, npm, Cargo, PyPI
• Web UI dashboard
• Swagger UI (/api-docs)
• Storage backends: Local filesystem, S3-compatible
• Smart proxy/cache for Maven and npm
• Health checks (/health, /ready)
• Basic authentication (htpasswd with bcrypt)
• API tokens (revocable, per-user)
• Prometheus metrics (/metrics)
• JSON structured logging
• Environment variable configuration
• Graceful shutdown (SIGTERM/SIGINT)
• Backup/restore commands

---

Журнал изменений (RU)

Все значимые изменения NORA документируются в этом файле.

---

[0.2.12] - 2026-01-30

Добавлено

Настраиваемый Rate Limiting

• Rate limits настраиваются через config.toml и переменные окружения
• Новая секция [rate_limit] с параметрами: auth_rps, auth_burst, upload_rps, upload_burst, general_rps, general_burst
• Переменные окружения: NORA_RATE_LIMIT_{AUTH|UPLOAD|GENERAL}_{RPS|BURST}

Архитектура Secrets Provider

• Trait-based управление секретами (SecretsProvider trait)
• ENV provider по умолчанию (12-Factor App паттерн)
• Защищённые секреты с zeroize (память обнуляется при drop)
• Redacted Debug impl предотвращает утечку секретов в логи
• Новая секция [secrets] с опциями provider и clear_env

Docker Image Metadata

• Поддержка получения метаданных образов

Документация

• Двуязычный onboarding guide (EN/RU)

---

[0.2.11] - 2026-01-26

Добавлено

• Поддержка интернационализации (i18n)
• PyPI registry proxy
• Улучшения UI

---

[0.2.10] - 2026-01-26

Изменено

• Тёмная тема применена ко всем страницам UI

---

[0.2.9] - 2026-01-26

Изменено

• Релиз с обновлением версии

---

[0.2.8] - 2026-01-26

Добавлено

• Dashboard endpoint добавлен в OpenAPI документацию

---

[0.2.7] - 2026-01-26

Добавлено

• Динамическое отображение версии в сайдбаре UI

---

[0.2.6] - 2026-01-26

Добавлено

Dashboard Metrics

• Глобальная панель статистики: downloads, uploads, artifacts, cache hit rate, storage
• Расширенные карточки реестров с количеством артефактов, размером, счётчиками
• Лог активности (последние 20 событий)

UI

• Тёмная тема (bg: #0f172a, cards: #1e293b)

---

[0.2.5] - 2026-01-26

Исправлено

• Docker push/pull: добавлен PATCH endpoint для chunked uploads

---

[0.2.4] - 2026-01-26

Исправлено

• Rate limiting: health/metrics endpoints теперь исключены
• Увеличены лимиты upload для параллельных Docker запросов

---

[0.2.0] - 2026-01-25

Добавлено

UI: SVG иконки брендов

• Эмоджи заменены на SVG иконки брендов (стиль Simple Icons)
• Docker, Maven, npm, Cargo, PyPI теперь отображаются как векторная графика
• Единый стиль иконок на дашборде, сайдбаре и страницах деталей

Тестовая инфраструктура

• Unit-тесты для LocalStorage (8 тестов): put/get, list, stat, health_check
• Unit-тесты для S3Storage с HTTP-мокированием wiremock (11 тестов)
• Интеграционные тесты auth/htpasswd (7 тестов)
• Тесты жизненного цикла токенов (11 тестов)
• Тесты валидации (21 тест)
• Всего: 75 тестов проходят

Безопасность: Валидация ввода (validation.rs)

• Защита от path traversal: отклоняет ../, ..\\, null-байты, абсолютные пути
• Валидация имён Docker-образов по спецификации OCI distribution
• Валидация дайджестов (sha256:[64 hex], sha512:[128 hex])
• Валидация тегов и ссылок Docker
• Ограничение длины ключей хранилища (макс. 1024 символа)

Безопасность: Rate Limiting (rate_limit.rs)

• Auth endpoints: 1 req/sec, burst 5 (защита от брутфорса)
• Upload endpoints: 10 req/sec, burst 20
• Общие endpoints: 100 req/sec, burst 200
• Использует tower_governor 0.8 с PeerIpKeyExtractor

Наблюдаемость: Отслеживание Request ID (request_id.rs)

• Заголовок X-Request-ID добавляется ко всем ответам
• Принимает upstream request ID или генерирует UUID v4
• Tracing spans включают request_id для корреляции логов

CLI: Команда миграции (migrate.rs)

• nora migrate --from local --to s3 - миграция между storage backends
• Флаг --dry-run для предпросмотра без копирования
• Прогресс-бар с indicatif
• Пропуск существующих файлов в destination
• Итоговая статистика (migrated, skipped, failed, bytes)

Обработка ошибок (error.rs)

• Enum AppError с IntoResponse для Axum
• Автоматическая конверсия из StorageError и ValidationError
• JSON-ответы об ошибках с поддержкой request_id

Изменено

• StorageError теперь использует макрос thiserror
• TokenError теперь использует макрос thiserror
• Storage wrapper валидирует ключи перед делегированием backend
• Docker registry handlers валидируют name, digest, reference
• Лимит размера body установлен в 100MB через DefaultBodyLimit

Добавлены зависимости

• thiserror = "2" - типизированная обработка ошибок
• tower_governor = "0.8" - rate limiting
• governor = "0.10" - backend для rate limiting
• tempfile = "3" (dev) - временные директории для тестов
• wiremock = "0.6" (dev) - HTTP-мокирование для S3 тестов

Добавлены файлы

• src/validation.rs - модуль валидации ввода
• src/migrate.rs - модуль миграции хранилища
• src/error.rs - типы ошибок приложения
• src/request_id.rs - middleware для request ID
• src/rate_limit.rs - конфигурация rate limiting

---

[0.1.0] - 2026-01-24

Добавлено

• Мульти-протокольная поддержка: Docker Registry v2, Maven, npm, Cargo, PyPI
• Web UI дашборд
• Swagger UI (/api-docs)
• Storage backends: локальная файловая система, S3-совместимое хранилище
• Умный прокси/кэш для Maven и npm
• Health checks (/health, /ready)
• Базовая аутентификация (htpasswd с bcrypt)
• API токены (отзываемые, per-user)
• Prometheus метрики (/metrics)
• JSON структурированное логирование
• Конфигурация через переменные окружения
• Graceful shutdown (SIGTERM/SIGINT)
• Команды backup/restore