Seguridad en Semaphore UI
Semaphore UI es una plataforma autogestionada que permite a los equipos de DevOps automatizar de manera segura la infraestructura utilizando Ansible, Terraform y scripts personalizados.
Entendemos que la seguridad es crítica para nuestros usuarios, y este documento describe los principios, prácticas y características que ayudan a mantener sus datos y sistemas seguros.
🔐 Almacenamiento de Datos y Privacidad
- Semaphore UI es totalmente autohospedado: todos sus datos permanecen en su entorno.
- No recopilamos ni transmitimos ninguna de sus credenciales, secretos, inventarios, playbooks, registros o telemetría.
- Tiene control total sobre el almacenamiento de datos, acceso, copias de seguridad y políticas de retención.
🔧 Seguro por Diseño
- Desarrollado en Go, un lenguaje compilado y seguro en memoria.
- Dependencias externas mínimas.
- Separación clara entre la interfaz web, la API y los ejecutores de tareas.
- Sigue el principio de menor privilegio para las operaciones internas.
🔍 Herramientas de Seguridad de Código
Para mantener la calidad del código y prevenir problemas de seguridad, utilizamos las siguientes herramientas:
- GitHub CodeQL: análisis semántico de código que consulta el código como datos para detectar vulnerabilidades y errores.
- Codacy: análisis estático de código para la calidad del código.
- Snyk: escaneo automático de vulnerabilidades conocidas en dependencias.
- RenovateBot: automatiza las actualizaciones de dependencias para reducir la exposición a paquetes obsoletos o vulnerables.
🧑💼 Control de Acceso y Autenticación
- Control de acceso basado en roles incorporado (Propietario, Gerente, Ejecutador de Tareas, Goest).
- Autenticación de Dos Factores (TOTP) opcional.
- Aislamiento a nivel de proyecto y entorno.
- Soporte para LDAP y SSO OAuth2.
🔍 Auditoría y Monitoreo
- Todas las acciones de la interfaz de usuario se registran con marcas de tiempo e identificaciones de usuario.
- Los registros se almacenan localmente y se pueden exportar a herramientas de registro externo o SIEM.
- Se puede implementar detrás de un proxy inverso (por ejemplo, NGINX, Traefik) para agregar filtrado de IP, límites de tasa y autenticación avanzada.
🔄 Actualizaciones y Gestión de Parches
- Recomendamos utilizar siempre la última versión estable.
- Los parches de seguridad se publican rápidamente una vez que se confirman y corrigen los problemas.
📣 Divulgación Responsable
Si descubre una vulnerabilidad de seguridad, infórmela de manera responsable enviando un correo electrónico a [email protected].
Nuestro objetivo es:
- Reconocer su informe dentro de 1 día hábil.
- Proporcionar una resolución o actualización de estado dentro de 7 días hábiles.
🛠️ Mejores Prácticas para una Implementación Segura
Para garantizar una instalación segura:
- Ejecute Semaphore UI en una red privada o VPN.
- Termine HTTPS utilizando un proxy inverso con un certificado TLS válido.
- Restringa el acceso externo utilizando reglas de firewall o listas de permitidos de IP.
- Actualice regularmente su instancia de Semaphore UI y sus dependencias.
📜 Cumplimiento y Privacidad
Semaphore UI es amigable con la privacidad y ayuda a apoyar sus esfuerzos de cumplimiento:
- GDPR: Todos los datos permanecen locales y bajo su control.
- CCPA: Sin seguimiento, sin perfiles, sin compartir datos con terceros.
✅ Resumen
Semaphore UI está diseñado para la seguridad y la privacidad. Ofrece a los equipos el poder de la automatización sin comprometer el control. Con una instalación y configuración adecuadas, puede cumplir incluso con estrictos requisitos de seguridad interna.
¿Preguntas? Contáctenos en [email protected].