-
Notifications
You must be signed in to change notification settings - Fork 112
es security
- ClawSec protege tanto la distribución de contenido (artefactos firmados) como el comportamiento en runtime (advisory gating, monitoreo de integridad).
- Las anclas de confianza son claves públicas fijadas en el repo y verificadas contra outputs generados por workflows.
- Los consumidores runtime usan por defecto un modelo verification-first, con flags de bypass explícitos solo para migración.
| Control | Mecanismo | Ubicación |
Silencio.
| Autenticidad del feed | Firmas detached Ed25519 (feed.json.sig) | Workflows de advisories + librerías de verificación del consumidor. |
| Integridad de artefactos | Manifiestos de checksum SHA-256 (checksums.json) | Workflows de release de skill y deploy de pages. |
| Consistencia de claves | Comparación de fingerprint entre docs + PEM canónicos | scripts/ci/verify_signing_key_consistency.sh. |
| Acción de verificación de firma | Acción compuesta de sign+verify en CI | .github/actions/sign-and-verify/action.yml. |
| Control | Componente | Efecto |
Silencio.
| Advisory hook gating | clawsec-advisory-guardian | Alertas y guía cautelosa según advisories coincidentes. |
| Instalador con doble confirmación | guarded_skill_install.mjs | Sale con código 42 hasta recibir confirmación explícita en advisories coincidentes. |
| Extensión de reputación | clawsec-clawhub-checker | Scoring de riesgo adicional antes de instalar. |
| Signature gate en NanoClaw | skill-signature-handler.ts + herramienta MCP | Bloquea instalaciones de paquetes manipulados/no firmados por política. |
| Monitor de baseline de integridad | soul-guardian + monitor de integridad NanoClaw | Detección de drift, cuarentena, restauración e historial auditable. |
- CI ejecuta Trivy, npm audit, CodeQL y Scorecard.
- Los checks locales pre-push pueden ejecutar
gitleaks detectsigitleaksestá instalado. - Los workflows de release validan existencia de SBOM antes de empaquetar.
- El workflow de deploy verifica el fingerprint de la signing key generada contra material de clave canónico.
- La documentación de release incluye comandos de verificación manual para consumidores downstream.
-
wiki/security-signing-runbook.mddefine generación de claves, custodia, rotación y fases de incidentes. -
wiki/migration-signed-feed.mddefine enforcement por etapas y niveles de rollback. - Los paths de rollback priorizan preservar publicación firmada cuando sea posible y limitar temporalmente cualquier bypass.
# verificar fingerprint de la clave pública canónica
openssl pkey -pubin -in clawsec-signing-public.pem -outform DER | shasum -a 256# ejecutar guardrail de consistencia de claves usado en CI
./scripts/ci/verify_signing_key_consistency.sh- El modo de compatibilidad sin firma reduce garantía y debe deshabilitarse cuando termine la migración.
- Algunos paths de deploy toleran assets de checksums legacy sin firma por compatibilidad retroactiva.
- Los checks de reputación dependen de output de tooling externo y pueden incluir falsos positivos/negativos heurísticos.
- Los scripts locales heredan confianza del entorno; un shell local comprometido aún puede subvertir flujos del operador.
- Eliminar flags de compatibilidad unsigned tras estabilizar migración.
- Expandir verificación determinista de checksum/firma para todos los archivos release espejados.
- Añadir tests explícitos para escenarios de falla de firma a nivel workflow.
- Aumentar telemetría runtime para fallas en fetch/verify de advisories y simplificar triage de incidentes.
- 2026-04-27: Traducción inicial al español de
wiki/security.md. - 2026-02-26: Referencias de signing y migración movidas desde
docs/raíz a páginas operativas enwiki/.
SECURITY.mdwiki/security-signing-runbook.mdwiki/migration-signed-feed.mdscripts/ci/verify_signing_key_consistency.sh.github/actions/sign-and-verify/action.yml.github/workflows/poll-nvd-cves.yml.github/workflows/community-advisory.yml.github/workflows/skill-release.yml.github/workflows/deploy-pages.ymlskills/clawsec-suite/hooks/clawsec-advisory-guardian/lib/feed.mjsskills/clawsec-suite/scripts/guarded_skill_install.mjsskills/clawsec-clawhub-checker/scripts/enhanced_guarded_install.mjsskills/soul-guardian/scripts/soul_guardian.pyskills/clawsec-nanoclaw/host-services/skill-signature-handler.tsskills/clawsec-nanoclaw/guardian/integrity-monitor.ts
- Security Signing Runbook
- Signed Feed Migration Plan
- Platform Verification Checklist
- Cross-Platform Remediation Plan
- Frontend Web App
- ClawSec Suite Core
- ClawSec Scanner
- Hermes Attestation Guardian
- Hermes Attestation Guardian Draft History (Archived)
- NanoClaw Integration
- Picoclaw Security Guardian
- Picoclaw Self Pen Testing
- Runtime Traffic Guardian Baseline
- Automation and Release Pipelines
- Local Validation and Packaging Tools