Sicurezza¶
Da fare¶
- Token solo in variabili utente,
.env(gitignored) o.secrets/github_token .gitignoreinclude.secrets/e.env- Token fine-grained limitato al singolo repository
- Ruotare il token se esposto accidentalmente
Da non fare¶
- Mai incollare il token in chat con l'agente o in issue GitHub
- Mai committare token o condividere screenshot con token visibile
- Mai usare script PowerShell in questo stack (antivirus / policy team) — solo Python
SSL / proxy aziendale¶
Se vedi errori certificato SSL verso api.github.com (comune su Windows con AV/proxy aziendale, a volte anche altrove):
Installa truststore opzionale (usa il trust store del SO su Windows).
Ordine risoluzione token¶
La CLI legge il token automaticamente:
GITHUB_TOKENnell'ambiente del processo (tutti i SO)- Solo Windows: variabile utente da registry (aiuta i terminali IDE)
.envnella root del repo.secrets/github_token
L'agente deve eseguire lo script direttamente — non chiedere token o comandi all'utente se configurato.