Seguridad

El CLI está diseñado con el principio de mínimo privilegio. Así protegemos tus credenciales.

Flujo de Autenticación

El CLI usa OAuth 2.0 Device Authorization Grant (RFC 8628).

Cómo Funciona

1. CLI solicita código de dispositivo — Sin secretos intercambiados
2. Autorizas en navegador — Login en tu navegador, no en CLI
3. CLI recibe token — Solo después de autorización
4. Token almacenado localmente — En tu máquina, en ningún otro lugar

Por Qué Device Flow

• Sin manejo de contraseñas. El CLI nunca ve tu contraseña.
• Compatible con MFA. Funciona con cualquier método 2FA.
• Revocable. Revoca acceso del CLI sin cambiar contraseña.
• Seguridad del navegador. Aprovecha gestores de contraseñas, biometría.

Almacenamiento de Tokens

Permisos de Archivo

El CLI establece permisos 0600 (solo lectura/escritura del propietario):

$ ls -la ~/.gitscrum/token.json
-rw------- 1 user user 256 Feb 7 09:00 token.json

Ciclo de Vida del Token

El CLI renueva automáticamente los tokens de acceso.

Seguridad en CI/CD

Mejores Prácticas

1. Usa gestión de secretos. Nunca hardcodees tokens.
2. Rota tokens. Re-auténticate periódicamente.
3. Audita acceso. Revisa aplicaciones OAuth en configuración.

Secretos por Plataforma

Nunca imprimas el token en logs:

# NO HAGAS ESTO
- run: echo $GITSCRUM_ACCESS_TOKEN

Seguridad de Red

• Toda comunicación usa HTTPS con TLS 1.2 mínimo
• El CLI rechaza conexiones HTTP
• Soporta proxies via HTTPPROXY/HTTPSPROXY

Revocar Acceso

Desde CLI

gitscrum auth logout

Desde GitScrum Web

1. Ve a Configuración de GitScrum
2. Navega a Apps Conectadas
3. Revoca la aplicación CLI

Reporte de Vulnerabilidades

¿Encontraste un problema de seguridad? Reporta de forma privada:

• Email: security@gitscrum.com
• GitHub: Reporte privado de vulnerabilidades

No abras issues públicos para vulnerabilidades de seguridad.