Modelo de seguridad
Un modelo que podés verificar, no solo creer.
La seguridad no debería ser una promesa en una página de marketing. lazyit está hecho para que las garantías que importan sean estructurales — comprobables en el código que corrés en tus propios servidores, no afirmaciones que tengas que creer a ciegas. Así se sostiene.
El servidor no puede descifrar tus secretos. Por diseño.
Tus bóvedas del Secret Manager están cifradas de punta a punta. Los valores se cifran en tu navegador antes de llegar al servidor, y se descifran solo ahí, por un miembro de la bóveda. lazyit guarda una forma que no puede leer — ni el servidor, ni un administrador, ni un backup de la base de datos pueden revelar el valor de un secreto.
No hay clave maestra en el servidor, así que no hay puerta trasera. Eso es justo lo que hace que la garantía valga la pena: no tenés que confiar en nuestra palabra.
Visible para lazyit
Nombres de bóvedas · listas de miembros · etiquetas y handles de secretos
Nunca legible por lazyit
Valores de secretos · tu contraseña · tu clave de recuperación
Los nombres y miembros quedan visibles para que la app muestre una lista y los admins gestionen el acceso — así que nombrá bóvedas y secretos con claridad, y nunca pongas el valor de un secreto en una etiqueta.
Production secrets
12 items · 4 members
- DATABASE_URL••••••••
- STRIPE_SECRET_KEY••••••••
- ZITADEL_SA_KEY••••••••
The server can never decrypt your secrets.
Acceso por capas, aplicado en el servidor.
Ningún control carga con todo el peso. Identidad, autorización y descifrado son asuntos separados, cada uno aplicado de forma independiente.
Membresía por bóveda
Llegar al Secret Manager y descifrar una bóveda son dos cosas distintas. El permiso para entrar te deja ver que las bóvedas existen; solo la membresía de una bóveda te deja descifrarla. No podés compartir una bóveda de la que no sos miembro — el acceso siempre baja desde quienes ya lo tienen.
Autorización por dominio
Lo que podés hacer se lee de la propia base de datos de lazyit — tres roles fijos y los permisos detrás de ellos — nunca de tu token de sesión. Un token mal configurado o manipulado no puede dar poder dentro de lazyit. Los usuarios nuevos arrancan de solo lectura; el menor privilegio es el default.
Identidad delegada (OIDC)
lazyit no guarda contraseñas de inicio de sesión. La autenticación se delega por OIDC a tu propio proveedor de identidad — el tuyo, vía Zitadel — así MFA, política de contraseñas y bloqueo viven donde corresponde. No hay base de contraseñas que filtrar.
Nada se borra de verdad. El rastro queda intacto.
La propiedad es una relación con fecha, nunca una columna — asignás y reasignás, y el historial se escribe solo. Das de baja un activo, desvinculás a una persona, revocás un acceso: el registro queda. Así el sistema siempre responde la pregunta que importa en un incidente o una auditoría — quién tuvo esto, y cuándo.
- Soft delete — los datos de dominio se dan de baja, nunca se borran
- Logs y ledgers de solo-anexado, inmutables por construcción
- Historial completo de cada activo, persona, otorgamiento y revocación
Tuyo para correr, auditar y conservar.
lazyit es AGPL-3.0, así que cada afirmación de esta página es una que podés leer por tu cuenta. Corre enteramente en tu infraestructura, y nada llama a casa.
AGPL-3.0
Leé el código, forkealo, correlo para siempre. Sin caja negra.
Self-hosted
Tus servidores, tu base de datos, tus backups. Los datos no salen.
Sin telemetría
Sin phone-home, sin tracking, sin cobro por asiento.
¿Encontraste algo? Contanos en privado.
Si creés que encontraste una vulnerabilidad, reportala en privado primero, para que se pueda corregir antes de hacerse pública. El camino más rápido es un GitHub Security Advisory — abre un canal privado con el mantenedor.
Para ser sinceros: lazyit todavía no tuvo una auditoría de seguridad de terceros. Así que en vez de mostrar el sello de otro, mantenemos el código abierto y el modelo lo bastante simple como para que lo audites vos.