Skip to content

fix(security): cierre de pendientes de auditoría P2/P3 del launcher#11

Merged
joajo13 merged 1 commit into
mainfrom
fix/audit-pending-p2-p3
Jun 23, 2026
Merged

fix(security): cierre de pendientes de auditoría P2/P3 del launcher#11
joajo13 merged 1 commit into
mainfrom
fix/audit-pending-p2-p3

Conversation

@joajo13

@joajo13 joajo13 commented Jun 23, 2026

Copy link
Copy Markdown
Owner

A1: README sección Releasing reescrita — publish del launcher por CI con
provenance (OIDC), sin paso manual; aviso de no publicar a mano.
D0: keyword "database-client-terminal" en launcher/package.json. B1: extracción in-process (launcher/extract.mjs: gunzip + parser ustar
propio, cero deps de runtime) reemplaza spawnSync("tar"). Rechaza path
traversal, symlinks/hardlinks que escapan, y cap anti gzip-bomb. Tests
en launcher/extract.test.ts. Override QUICK_OUTERBASE_BUNDLE intacto.
M1: gate de auditoría ENFORCED (scripts/audit-gate.mjs, --omit=dev,
fail-closed) + baseline documentado (.audit-allowlist.json, 21 GHSAs).
Bloquea CVE high+ NUEVOS en prod. check.yaml: npm install -> npm ci.

Verificado: 18/18 jest del launcher; round-trip byte-a-byte vs tar real sobre bundle de 28MB (0 diffs); launcher e2e arranca server desde la extracción in-process; gate verde/bloquea/fail-closed en las 3 direcciones. Incluye fixes de review adversarial (2 fail-open critical en el gate, cache parcial envenenado, PAX size negativo, gzip-bomb).

B2: name queda sin scope (decisión, sin cambio de código).

@joajo13
fix(security): cierre de pendientes de auditoría P2/P3 del launcher
b408e12 
A1: README sección Releasing reescrita — publish del launcher por CI con
    provenance (OIDC), sin paso manual; aviso de no publicar a mano.
D0: keyword "database-client-terminal" en launcher/package.json.
B1: extracción in-process (launcher/extract.mjs: gunzip + parser ustar
    propio, cero deps de runtime) reemplaza spawnSync("tar"). Rechaza path
    traversal, symlinks/hardlinks que escapan, y cap anti gzip-bomb. Tests
    en launcher/extract.test.ts. Override QUICK_OUTERBASE_BUNDLE intacto.
M1: gate de auditoría ENFORCED (scripts/audit-gate.mjs, --omit=dev,
    fail-closed) + baseline documentado (.audit-allowlist.json, 21 GHSAs).
    Bloquea CVE high+ NUEVOS en prod. check.yaml: npm install -> npm ci.

Verificado: 18/18 jest del launcher; round-trip byte-a-byte vs tar real
sobre bundle de 28MB (0 diffs); launcher e2e arranca server desde la
extracción in-process; gate verde/bloquea/fail-closed en las 3 direcciones.
Incluye fixes de review adversarial (2 fail-open critical en el gate,
cache parcial envenenado, PAX size negativo, gzip-bomb).

B2: name queda sin scope (decisión, sin cambio de código).
@chatgpt-codex-connector

chatgpt-codex-connector Bot commented Jun 23, 2026

Copy link
Copy Markdown

You have reached your Codex usage limits for code reviews. You can see your limits in the Codex usage dashboard.

@joajo13 joajo13 merged commit bc3f43a into main Jun 23, 2026
2 checks passed
@joajo13 joajo13 mentioned this pull request Jun 23, 2026
Merged
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@joajo13