Modelo de seguridad

Conoce qué credenciales necesita la herramienta antes de desplegar.

PrivateDeploy automatiza infraestructura sensible. Trata API keys cloud, claves SSH, contraseñas de nodo y enlaces de suscripción como secretos de producción.

K

API keys cloud

Usa tokens con alcance reducido cuando sea posible. Rota cualquier clave que aparezca en logs, capturas o salida de pruebas.

S

Material SSH

La recuperación en DigitalOcean usa un par ed25519 administrado con acceso root a droplets creados.

N

Credenciales de nodo

Contraseñas de protocolo, UUID, claves Reality y enlaces compartidos son secretos.

L

Almacenamiento local

Tokens y configuración sensible deberían usar el keyring del sistema, no archivos en texto plano.

Checklist de seguridad para preview

Antes de distribuir una build, completa estos controles para esa etiqueta exacta.

Área
Puerta
Resultado requerido
Escaneo de secretos
Requerido
No debe haber API keys, claves privadas, tokens, contraseñas, enlaces de nodos ni URLs de suscripción.
Artefactos de release
Requerido
Cada binario tiene checksum SHA256 y proviene del mismo commit/tag.
Smoke tests cloud
Por proveedor
Lista un proveedor solo tras crear, desplegar, conectar, recuperar si aplica y eliminar.
Soporte iOS
Condicional
Marca iOS como build-required salvo que VPNCore y permisos estén validados en un dispositivo real.

Manejo de datos

PrivateDeploy debe evaluarse como herramienta de infraestructura local-first.

No es un servicio de red hospedado

El proyecto no ofrece acceso de red alojado ni servidores proxy compartidos. Despliegas nodos en cuentas y hosts que controlas.

Los secretos siguen sensibles

API keys, claves SSH, contraseñas, UUID y enlaces de suscripción no deben ir a issues públicos.

Reportar vulnerabilidades

Usa GitHub issues para bugs no sensibles. Para reportes explotables, usa un advisory privado cuando esté disponible.

Uso responsable

Usa PrivateDeploy solo con infraestructura y cuentas propias o autorizadas. Revisa los términos del proveedor cloud antes de desplegar.

puerta local de release
bash scripts/check_versions.sh
scripts/secret_scan.sh