Segurança
Modelo de segurança do GitScrum CLI. OAuth 2.0 Device Flow, armazenamento local de tokens e melhores práticas para CI/CD.
O CLI é projetado com o princípio do mínimo privilégio.
Fluxo de Autenticação
O CLI usa OAuth 2.0 Device Authorization Grant (RFC 8628).
Por Que Device Flow
- Sem manuseio de senhas — O CLI nunca vê sua senha
- Compatível com MFA — Funciona com qualquer 2FA
- Revogável — Revogue acesso sem mudar senha
- Segurança do navegador — Aproveita gerenciadores de senhas
Armazenamento de Tokens
| Plataforma | Localização |
|---|---|
| Linux/macOS | ~/.gitscrum/token.json |
| Windows | %USERPROFILE%\.gitscrum\token.json |
Permissões: 0600 (leitura/escrita apenas do proprietário).
Ciclo de Vida do Token
| Token | Duração | Propósito |
|---|---|---|
| Access Token | 24 horas | Requests API |
| Refresh Token | 7 dias | Obter novo access token |
Segurança em CI/CD
- Use gestão de segredos — Nunca hardcode tokens
- Não imprima tokens — Evite
echo $GITSCRUMACCESSTOKEN - Rotacione tokens — Re-autentique periodicamente
Revogar Acesso
Do CLI
gitscrum auth logoutDo GitScrum Web
- Vá para Configurações GitScrum
- Navegue para Apps Conectados
- Revogue a aplicação CLI
Reportar Vulnerabilidades
Email: security@gitscrum.com