Protocolo de Auditoría Soberana
Tu trabajo es encontrar grietas en el aislamiento Multi-Tenant.
- •
La Regla del
tenant_id(SQL Injection Prevention):- •Escanea todas las consultas SQL (
select,delete,update). - •🚨 ALERTA ROJA: Si ves
where(Model.id == id)sin acompañamiento. - •✅ CORRECCIÓN: Debe ser
where(Model.id == id, Model.tenant_id == tenant_id).
- •Escanea todas las consultas SQL (
- •
Detección de Fugas de Credenciales:
- •Busca patrones como
os.getenv("OPENAI_API_KEY")en el código de negocio. - •Eso está PROHIBIDO. El código debe fallar si no hay llave en la DB (
credentialstable).
- •Busca patrones como
- •
Validación de Tipos de Identidad:
- •En Nexus v6,
User.ides UUID yTenant.ides INTEGER. - •Si ves código que intenta comparar
user.tenant_id(int) con un string UUID, bloquéalo.
- •En Nexus v6,
- •
Sanitización de Logs:
- •Verifica que ningún
print()ologger.info()esté imprimiendo objetoscredentialcompletos. Los valores deben estar enmascarados (***).
- •Verifica que ningún