Una plataforma SaaS que integre un motor de políticas declarativas (OPA o Cedar), análisis estático automático con Semgrep, escaneo de dependencias con Dependabot y Trivy, y corretaje seguro de credenciales con tokens de corta duración.

Repositorio: ytarasova/ark Autor: ytarasova Contexto Según docs/ROADMAP.md Capa 5 Seguridad: | Brecha | Enfoque | Prioridad | |---|---|---| | Motor de políticas estilo OPA | OPA o Cedar. Políticas declarativas: "el inquilino X no puede usar ec2-firecracker", "el agente Y no puede ejecutar rm -rf", "sesiones sobre $5 requieren aprobación". Evaluar en límites de despacho y llamadas a herramientas. | SP2 | | Integración de análisis estático | Semgrep (OSS, multi-lenguaje) como herramienta en etapa de verificación. Ejecutar automáticamente antes de crear PR. Bloquear merge si hay hallazgos P0. | SP2 | | Escaneo de dependencias | Dependabot (nativo de GitHub) + Trivy (escáner OSS de contenedores). Ejecutar en programación o evento PR. | SP2 | | Corretaje de credenciales | Tokens de corta duración por sesión. El agente recibe un token con alcance que expira al terminar la sesión. No hay secretos de larga duración en el entorno del agente. | SP2 | Estado actual: - TenantPolicyManager tiene soporte limitado para políticas declarativas (lista blanca de proveedores). - Sin integración OPA / Cedar — políticas codificadas en TS. - Sin integración Semgrep. - Sin conexión Trivy / Dependabot. - Sin corretaje de credenciales — secretos de larga duración. Alcance 1. Motor de políticas OPA / Cedar 2. Herramienta verify-stage Semgrep 3. Escaneo de dependencias 4. Corretaje de credenciales Por qué importa La Capa 5 de Seguridad es fundamental para empresas. OPA/Cedar convierte reglas de seguridad en datos (declarativas, auditables, versionables) en lugar de código TS. Semgrep + Trivy reducen el riesgo de código inseguro. Corretaje de credenciales limita el impacto de sesiones comprometidas.