Sicurezza

Archyl implementa molteplici misure di sicurezza per proteggere i tuoi dati architetturali e l'analisi del codice. Questa guida spiega le nostre pratiche di sicurezza e come configurare l'accesso sicuro.

Protezione dei Dati

Crittografia

Isolamento dei Dati

• I dati di ogni organizzazione sono completamente isolati
• Nessun accesso ai dati tra organizzazioni
• Controllo degli accessi basato sui ruoli all'interno delle organizzazioni

Sicurezza dell'Autenticazione

Integrazione OAuth

Archyl usa OAuth per l'autenticazione con i provider Git:

• Nessuna credenziale memorizzata: Non memorizziamo mai le tue password Git
• Permessi minimi: Viene richiesto solo l'accesso in lettura al repository
• Basato su token: Token OAuth con scope limitato
• Revocabile: Disconnetti in qualsiasi momento dalle impostazioni del provider

Provider Supportati

Gestione Sessione JWT

• Token di accesso a breve durata (24 ore)
• Cookie HTTP-only sicuri
• Aggiornamento automatico dei token
• Invalidazione della sessione al logout

Repository Privati

Utilizzo dei Repository Privati

Archyl supporta completamente i repository privati:

1. Autenticazione OAuth: Concede accesso in sola lettura ai tuoi repo
2. Provider self-hosted: Usa token di accesso personale
3. Accesso selettivo: Scegli tu quali repo collegare

Cosa Accediamo

Quando analizziamo un repository:

• Struttura e percorsi dei file
• Contenuto del codice (solo durante l'analisi)
• File di configurazione

Cosa Non Memorizziamo

• Codice sorgente (solo metadati e architettura scoperta)
• Credenziali Git
• I token OAuth sono crittografati e con scope limitato

Sicurezza dell'Analisi IA

Come Funziona la Scoperta IA

Durante la scoperta basata sull'IA:

1. Il codice viene inviato al provider IA configurato
2. Viene analizzata solo la struttura del codice
3. I risultati richiedono la tua approvazione
4. Nessun codice viene memorizzato permanentemente

Controllo degli Accessi

Ruoli dell'Organizzazione

Accesso Basato sui Team

• I membri vengono invitati a livello di team
• Ruoli diversi per team
• Accesso ai progetti controllato dall'appartenenza al team

Permessi Chiavi API

• Permessi in sola lettura o lettura-scrittura
• Limitati a operazioni specifiche
• Supporto date di scadenza
• Traccia di audit dell'utilizzo delle chiavi

Conformità

Gestione dei Dati

• Gestione dei dati conforme al GDPR
• Eliminazione dei dati su richiesta
• Esporta i tuoi dati in qualsiasi momento
• Nessun dato venduto a terze parti

Infrastruttura

• Ospitato su infrastruttura cloud sicura
• Audit di sicurezza regolari
• Scansione automatizzata delle vulnerabilità
• Procedure di risposta agli incidenti

Best Practice di Sicurezza

Per la Tua Organizzazione

1. Usa l'accesso basato sui team: Non condividere le credenziali
2. Abilita MFA: Proteggi i tuoi account dei provider Git
3. Ruota le chiavi API: Cambia le chiavi periodicamente
4. Audita l'accesso: Rivedi regolarmente l'appartenenza ai team

Per la Scoperta IA

1. Rivedi prima di approvare: Controlla gli elementi scoperti
2. Usa Ollama per codice sensibile: Mantieni l'analisi in locale
3. Limita l'ambito della scoperta: Analizza solo i percorsi necessari
4. Escludi file sensibili: Configura i pattern di esclusione

Per la Condivisione

1. Imposta date di scadenza: Non creare link permanenti inutilmente
2. Rivedi i link condivisi: Audita periodicamente le condivisioni attive
3. Usa l'accesso del team: Preferisci l'appartenenza al team rispetto ai link di condivisione per uso interno

Segnalazione di Problemi di Sicurezza

Se scopri una vulnerabilità di sicurezza:

1. Non divulgarla pubblicamente
2. Invia un'email a security@archyl.com
3. Includi passaggi dettagliati di riproduzione
4. Risponderemo entro 24 ore

Prossimi Passi

• Collaborazione di Team - Configurare l'accesso del team
• Autenticazione - Accesso API sicuro
• Scoperta IA - Configurare i provider IA