Referencia de reglas de Sentinel

Cada regla de Sentinel que viene en v1.0 — las 10 reglas built-in HEX/NAM/SEC/TEST implementadas en Go y las 11 reglas YAML cargables documentadas en las familias ARC/SEC/QC/DEPS.

Actualizado: 2026-04-30

Esta es la lista canónica de cada regla de Sentinel que viene con Korva v1.0. Las primeras diez están implementadas en Go dentro del binario; las restantes son plantillas documentadas que puedes dejar en .korva/rules/<rule-id>.yaml para activarlas.

Reglas built-in (Go)

Arquitectura hexagonal

ID	Severidad	Detecta
HEX-001	Error	Capa de dominio importando de infrastructure o application
HEX-002	Error	Capa de application importando de infrastructure
HEX-003	Error	`console.*` en `src/` (excluyendo tests)
HEX-004	Error	`new XAdapter(...)` fuera de `*.module.ts`
HEX-005	Warning	`: any` sin un `// korva-ignore: <razón>`

Naming

ID	Severidad	Detecta
NAM-001	Error	Sufijo `Dto` en lugar de `DTO`
NAM-002	Error	Token de puerto DI no en `SCREAMING_SNAKE_CASE`
NAM-003	Warning	Archivos en `/adapters/` que no siguen `*.adapter[.variant].ts`

Seguridad

ID	Severidad	Detecta
SEC-001	Error	Secretos hardcodeados — literales `password`, `api_key`, `secret`, `token`

Testing

ID	Severidad	Detecta
TEST-001	Warning	Tests en `__tests__/` o `test/` en lugar de co-located

Reglas documentadas (YAML, opt-in)

Deja un archivo <rule-id>.yaml en .korva/rules/ y Sentinel lo cargará. La referencia canónica completa vive en sentinel/rules/AGENTS.md en el repo público.

Arquitectura (ARC-*)

ID	Detecta
ARC-001	Imports de frameworks (`express`, `nestjs`, `prisma`…) dentro de domain/core
ARC-002	Funciones de más de 25 LOC o llamadas a DB dentro de handlers HTTP
ARC-003	`db.query`, `prisma.`, `mongoose.` fuera de repository/store

Seguridad (extensiones SEC-*)

ID	Detecta
SEC-002	`logger.info(password)`, `console.log(token)` con nombres de variable sensibles
SEC-003	Igualdad directa (`==`/`===`) sobre token / secret / HMAC / firma (timing attack)
SEC-004	CORS con `origin: ""` o `Access-Control-Allow-Origin: `
SEC-005	SQL en template literals con interpolación
SEC-006	Rutas `/admin`, `/internal`, `/users/:id` sin middleware de autenticación

Quality control (QC-*)

ID	Detecta
QC-001	`console.log`, `debugger;`, `breakpoint()` en `src/`
QC-002	`: any` / `as any` sin justificación

Dependencias (DEPS-*)

ID	Detecta
DEPS-001	Imports de paquetes vulnerables (`lodash<4.17.21`, `moment`, `node-serialize`, `eval()`)

Supresiones

Comentario inline en la misma línea que la violación:

const publicData: any = response.data // korva-ignore: API externa, sin tipo estático disponible

Un // korva-ignore pelado (sin razón) es a su vez una violación.

Perfiles

Perfil	Reglas activas	Caso de uso
`minimal`	SEC-001	Recién empezando
`standard` (default)	HEX-001/002/003 + SEC-001	La mayoría de equipos
`strict`	Todas las built-in	Equipos maduros

Selecciona el perfil con --profile <name> o define KORVA_SENTINEL_PROFILE.

Añadir una regla custom

Deja my-rule.yaml en .korva/rules/.
Especifica patrón regex, glob de archivos, severidad (error / warning) y un mensaje de una línea.
Ejecuta korva sentinel check para verificar que dispara donde esperas.
Commitealo — tu equipo la recoge automáticamente al hacer pull.

Formatos de output

# Texto — humanos
korva sentinel check

# JSON — CI / tooling
korva-sentinel --format json

Forma del JSON:

{
  "scanned": 12,
  "passed": 10,
  "failed": 2,
  "findings": [
    {
      "rule": "SEC-001",
      "severity": "error",
      "file": "src/auth/AuthService.ts",
      "line": 14,
      "message": "Hardcoded secret detected",
      "snippet": "const secret = \"sk_live_4xK9mP...\""
    }
  ]
}