Name: ScopeWard
Availability: InStock
Author: Sunny Systems

Question 1

Onde o ScopeWard roda? Quem fica com meu token?

Accepted Answer

Roda 100% na sua máquina ou no seu CI. Não tem backend, não tem cloud nossa, zero telemetria. O token é lido de GITHUB_TOKEN (ou GH_TOKEN), ou pedido sem echo no terminal, e vive só em memória: não vai pra disco, log nem crash dump. Nenhum byte da sua org sai do seu ambiente.

Question 2

Ele modifica alguma coisa na minha organização?

Accepted Answer

Não. O ScopeWard usa apenas escopos de leitura e nunca escreve no GitHub. O --fix-script gera comandos gh sugeridos pra remediação, mas todos vêm comentados: nada executa até você revisar e descomentar manualmente.

Question 3

Por que focar em agentes de IA?

Accepted Answer

Porque é onde o risco de 2026 vive. A maioria dos auditores para em humanos e 2FA. O ScopeWard inventaria quais identidades de máquina/bot de fato commitam código, correlaciona cada uma ao seu credencial e largura de escopo, e sinaliza agentes commitando com escopo amplo demais ou em branches sem proteção. Governar quem empurra código (humano ou agente), e com qual escopo, é o ponto.

Question 4

Que token eu preciso? E se faltar escopo?

Accepted Answer

Foi pensado pra um token de owner da org, com escopos read-only de PAT clássico: read:org, repo, admin:org e read:user. Escopo faltando nunca quebra o run: os checks afetados degradam pra "não avaliado", e o gap aparece de cara e no relatório de cobertura. Nunca um falso "passou".

Question 5

Como integro no CI/CD?

Accepted Answer

Use --fail-on {low|medium|high|critical} pra sair com código 2 quando houver achado na severidade ou acima, travando o pipeline. Exporte --format json ou --format sarif pra parsing e pro code scanning do GitHub. E --baseline com --new-only reporta só as regressões novas desde o último run.

Question 6

Dá pra silenciar um achado que a gente aceita?

Accepted Answer

Sim. Um arquivo .scopeward.yml (auto-detectado, ou via --config) permite allowlistar riscos aceitos, com motivo. Achados suprimidos saem do score e do --fail-on, mas continuam listados: nada é escondido silenciosamente.

Question 7

É open source de verdade?

Accepted Answer

Sim, licença MIT, mantido pela Sunny Systems. Binário único, sem dependências de runtime. Instale com go install, baixe um binário das releases ou compile do código. Se quiser ajuda pra rodar governança na escala da sua org, a Sunny faz o rollout junto com seu time.