Audit des dépendances Python inutilisées dans requirements.txt

[chrlesur]

Contexte

Lors de l'analyse de la PR #5 (bump python-multipart 0.0.6→0.0.27), il a été constaté que cette dépendance n'est pas importée directement dans le code source :

• Aucun from python_multipart import ...
• Aucun usage de UploadFile, Form(), File() dans FastAPI
• L'ingestion de documents passe par du base64 dans le JSON, pas du multipart/form-data

Objectif

Auditer l'ensemble des dépendances de requirements.txt pour identifier celles déclarées mais non utilisées par le code (excluant les transitives nécessaires).

Démarche proposée

1. Pour chaque dépendance de requirements.txt, grep dans src/ et scripts/ pour vérifier les imports directs
2. Tester suppression de la dépendance + rebuild Docker + recette scripts/test_recette.py (doit rester à 150/150 PASS)
3. Si pas de régression → supprimer du requirements.txt
4. Documenter le changement dans CHANGELOG.md

Candidats identifiés

• python-multipart (>=0.0.27) — pas d'import direct, pas d'usage FastAPI multipart
• aiofiles (>=23.0.0) — à vérifier
• Autres dépendances utilitaires à auditer

Critères de succès

• Recette complète : 150/150 PASS après suppression
• Surface d'attaque réduite (moins de CVE potentielles)
• docker-compose up fonctionne sans erreur
• Build Docker reproductible

Priorité

🟡 Moyenne — Pas de blocage production, mais bonne hygiène de sécurité (réduction surface CVE).

[chrlesur]

Mise à jour — découverte supplémentaire (PR #8)

L'analyse de la PR dependabot #8 (bump fastapi 0.100.0 → 0.136.1) a révélé que fastapi est également une dépendance morte.

Vérifications effectuées (PR #8 fermée)

• ✅ Aucun import from fastapi ou import fastapi dans src/ ou scripts/
• ✅ pip show fastapi → Required-by: vide (pas dans les transitives de mcp)
• ✅ Le SDK mcp dépend uniquement de Starlette (pas FastAPI)
• ✅ L'API REST simple (/api/memories, /api/graph/<id>, /api/ask, /api/query) est implémentée comme middleware ASGI custom dans src/mcp_memory/auth/middleware.py — pas avec FastAPI

Candidats mis à jour (par priorité)

• 🔴 fastapi (>=0.100.0) — CONFIRMÉ NON UTILISÉ. Le SPECIFICATION.md (ligne 199) ment encore en disant "FastAPI + Starlette". L'API REST est en ASGI pur.
• 🟡 python-multipart (>=0.0.27) — déjà signalé, pas d'import direct (mais transitive de mcp : Requires: ... python-multipart ...) → peut-être garder par sécurité.
• 🟢 aiofiles (>=23.0.0) — à vérifier

Plan d'action

1. Créer une branche cleanup/remove-fastapi
2. Supprimer fastapi>=0.100.0 du requirements.txt
3. Mettre à jour DESIGN/SPECIFICATION.md (retirer mention FastAPI, garder Starlette)
4. Rebuild Docker + recette complète scripts/test_recette.py (doit rester à 150/150 PASS)
5. PR + merge