Merge feature/security-scan: add security scan command (v1.6.2)

Author: SoftDryzz

README.md

@@ -183,6 +183,7 @@ pm run order-service
 - 🐳 **Docker support** - Detect Docker Compose projects, default commands (build, up, down, clean)
 - 🪝 **Pre-/post-command hooks** - Run custom scripts before or after any command with `pm hooks`
 - 🔤 **Shell autocompletion** - TAB completion for bash, zsh, fish, and PowerShell with `pm completions`
+- 🔐 **Security scan** - Detect misconfigurations (Dockerfile root, exposed secrets, insecure URLs) with `pm secure`, auto-fix with `--fix`
 - 🌐 **Multi-platform** - Works on Windows, Linux, and Mac
 
 ---
@@ -246,6 +247,8 @@ chmod +x scripts/install.sh && ./scripts/install.sh
 | `pm update` | Update to the latest version |
 | `pm doctor` | Diagnose environment (runtimes, paths, health scores) |
 | `pm doctor --score` | Show only health grades (A/B/C/D/F) per project |
+| `pm secure` | Scan projects for security misconfigurations |
+| `pm secure --fix` | Auto-fix .gitignore issues (add .env, *.pem, *.key entries) |
 | `pm help` | Show help |
 | `pm version` | Show version |
 
@@ -455,9 +458,10 @@ Projects are saved in:
 - **CLI** — `pm doctor`, `pm env`, `pm refresh`, `pm rename`, `pm update`, `pm commands add/remove`
 - **Runtimes** — Gradle, Maven, Node.js, .NET, Python, Rust, Go, pnpm, Bun, Yarn, Flutter, Docker
 - **Integrations** — Git status, interactive TTY, multi-platform installers, GitHub Actions
-- **Reliability** — Atomic writes, backup/recovery, directory validation, download integrity, 441 tests
+- **Security** — `pm secure` scans for misconfigurations, `--fix` auto-remediates .gitignore issues
+- **Reliability** — Atomic writes, backup/recovery, directory validation, download integrity, 498 tests
 
-> Latest release: **v1.6.1** (Doctor Health Score) — Full version history in [ROADMAP.md](ROADMAP.md)
+> Latest release: **v1.6.2** (Security Scan) — Full version history in [ROADMAP.md](ROADMAP.md)
 
 ### 💡 Future Ideas
 - [ ] `pm run-all` / `pm build-all` - Execute commands across all projects

ROADMAP.md

@@ -201,18 +201,21 @@ Run custom scripts automatically before or after any command. Hooks are per-proj
 
 ---
 
-## v1.6.2 — Security Scan
+## v1.6.2 — Security Scan ✅
 
 ### `pm secure` command
-- Best practices security scan (filesystem patterns only, no secret management)
-- Checks:
-  - Dockerfile runs as non-root user
-  - `.env` files are in `.gitignore`
-  - No hardcoded `http://` URLs in config files (should be `https://`)
-  - Sensitive files (`.pem`, `.key`) are in `.gitignore`
-  - Dependencies lockfile exists
-- `pm secure` — run all checks and show report
-- `pm secure --fix` — auto-fix what can be fixed (e.g., add entries to `.gitignore`)
+
+| Feature | Status |
+|---------|--------|
+| Best practices security scan (filesystem patterns only, no secret management) | ✅ Done |
+| Check: Dockerfile runs as non-root user | ✅ Done |
+| Check: `.env` files are in `.gitignore` | ✅ Done |
+| Check: No hardcoded `http://` URLs in config files (should be `https://`) | ✅ Done |
+| Check: Sensitive files (`.pem`, `.key`) are in `.gitignore` | ✅ Done |
+| Check: Dependencies lockfile exists | ✅ Done |
+| `pm secure` — run all checks and show report | ✅ Done |
+| `pm secure --fix` — auto-fix what can be fixed (add entries to `.gitignore`) | ✅ Done |
+| Auto-fix creates `.gitignore` if not present | ✅ Done |
 
 ---
 

User-Guide.md

@@ -16,6 +16,7 @@
   - [Shell Autocompletion](#-shell-autocompletion)
   - [Environment Variable Management](#-environment-variable-management)
   - [Diagnostics](#-diagnostics)
+  - [Security Scan](#-security-scan)
   - [Help and Version](#-help-and-version)
 - [Environment Variables](#-environment-variables)
   - [What Are They?](#what-are-they)
@@ -691,6 +692,38 @@ Shows just the letter grade per project without details:
 
 ---
 
+### 🔹 Security Scan
+
+#### Scan all projects for security issues
+```bash
+pm secure
+```
+
+Runs 5 filesystem-only security checks on each registered project:
+
+| Check | Pass condition | Recommendation if failed |
+|-------|---------------|--------------------------|
+| Dockerfile non-root | No Dockerfile, or Dockerfile contains `USER` (not root) | Add a USER directive to avoid running as root |
+| Env protection | `.gitignore` contains `.env` patterns | Add .env to .gitignore to prevent leaking secrets |
+| HTTPS only | No `http://` URLs in config files (excluding localhost) | Replace http:// with https:// in config files |
+| Sensitive files | `.gitignore` contains `*.pem` and `*.key` patterns | Add *.pem and *.key to .gitignore to protect keys |
+| Lockfile | Dependency lockfile exists for project type | Commit your lockfile to prevent supply-chain attacks |
+
+Result coloring: **5/5** = green, **3–4/5** = yellow, **0–2/5** = red
+
+#### Auto-fix .gitignore issues
+```bash
+pm secure --fix
+```
+
+Automatically adds missing entries to `.gitignore`:
+- `.env` and `.env.*` (environment files)
+- `*.pem`, `*.key`, `*.p12`, `*.pfx` (private keys and certificates)
+
+Creates `.gitignore` if it doesn't exist. Does **not** duplicate entries that are already present.
+
+---
+
 ### 🔹 Help and Version
 
 #### View help
@@ -1638,6 +1671,10 @@ pm completions powershell                      # Generate PowerShell completion
 pm doctor                                      # Full report: runtimes + project health (A-F)
 pm doctor --score                              # Compact: only health grades per project
 
+# === SECURITY ===
+pm secure                                      # Scan all projects for security issues
+pm secure --fix                                # Auto-fix .gitignore issues
+
 # === UPDATES ===
 pm update                                      # Update to latest version
 

docs/es/README.md

@@ -183,6 +183,7 @@ pm run servicio-pedidos
 - 🐳 **Soporte Docker** - Detecta proyectos Docker Compose, comandos por defecto (build, up, down, clean)
 - 🪝 **Hooks pre-/post-comando** - Ejecuta scripts personalizados antes o después de cualquier comando con `pm hooks`
 - 🔤 **Autocompletado en shell** - Completado con TAB para bash, zsh, fish y PowerShell con `pm completions`
+- 🔐 **Escaneo de seguridad** - Detecta misconfiguraciones (Dockerfile root, secretos expuestos, URLs inseguras) con `pm secure`, auto-corrige con `--fix`
 - 🌐 **Multi-plataforma** - Funciona en Windows, Linux y Mac
 
 ---
@@ -246,6 +247,8 @@ chmod +x scripts/install.sh && ./scripts/install.sh
 | `pm update` | Actualizar a la última versión |
 | `pm doctor` | Diagnosticar entorno (runtimes, rutas, puntuación de salud) |
 | `pm doctor --score` | Mostrar solo calificaciones de salud (A/B/C/D/F) por proyecto |
+| `pm secure` | Escanear proyectos buscando misconfiguraciones de seguridad |
+| `pm secure --fix` | Auto-corregir problemas de .gitignore (añadir .env, *.pem, *.key) |
 | `pm help` | Mostrar ayuda |
 | `pm version` | Mostrar versión |
 
@@ -455,9 +458,10 @@ Los proyectos se guardan en:
 - **CLI** — `pm doctor`, `pm env`, `pm refresh`, `pm rename`, `pm update`, `pm commands add/remove`
 - **Runtimes** — Gradle, Maven, Node.js, .NET, Python, Rust, Go, pnpm, Bun, Yarn, Flutter, Docker
 - **Integraciones** — Estado Git, TTY interactivo, instaladores multi-plataforma, GitHub Actions
-- **Fiabilidad** — Escritura atómica, backup/recuperación, validación de directorio, integridad de descarga, 441 tests
+- **Seguridad** — `pm secure` escanea misconfiguraciones, `--fix` auto-corrige problemas de .gitignore
+- **Fiabilidad** — Escritura atómica, backup/recuperación, validación de directorio, integridad de descarga, 498 tests
 
-> Última release: **v1.6.1** (Puntuación de Salud del Doctor) — Historial completo en [ROADMAP.md](ROADMAP.md)
+> Última release: **v1.6.2** (Escaneo de Seguridad) — Historial completo en [ROADMAP.md](ROADMAP.md)
 
 ### 💡 Ideas Futuras
 - [ ] `pm run-all` / `pm build-all` - Ejecutar comandos en todos los proyectos

docs/es/ROADMAP.md

@@ -201,18 +201,21 @@ Ejecuta scripts personalizados automáticamente antes o después de cualquier co
 
 ---
 
-## v1.6.2 — Escaneo de Seguridad
+## v1.6.2 — Escaneo de Seguridad ✅
 
 ### Comando `pm secure`
-- Escaneo de buenas prácticas de seguridad (solo patrones del sistema de archivos, sin gestión de secretos)
-- Verificaciones:
-  - Dockerfile ejecuta como usuario no-root
-  - Archivos `.env` están en `.gitignore`
-  - No hay URLs `http://` hardcodeadas en archivos de configuración (deberían ser `https://`)
-  - Archivos sensibles (`.pem`, `.key`) están en `.gitignore`
-  - Existe lockfile de dependencias
-- `pm secure` — ejecutar todas las verificaciones y mostrar reporte
-- `pm secure --fix` — auto-corregir lo que se pueda (ej. añadir entradas a `.gitignore`)
+
+| Funcionalidad | Estado |
+|---------------|--------|
+| Escaneo de buenas prácticas de seguridad (solo patrones del sistema de archivos) | ✅ Hecho |
+| Verificación: Dockerfile ejecuta como usuario no-root | ✅ Hecho |
+| Verificación: Archivos `.env` están en `.gitignore` | ✅ Hecho |
+| Verificación: No hay URLs `http://` hardcodeadas en config (deberían ser `https://`) | ✅ Hecho |
+| Verificación: Archivos sensibles (`.pem`, `.key`) están en `.gitignore` | ✅ Hecho |
+| Verificación: Existe lockfile de dependencias | ✅ Hecho |
+| `pm secure` — ejecutar todas las verificaciones y mostrar reporte | ✅ Hecho |
+| `pm secure --fix` — auto-corregir problemas de `.gitignore` | ✅ Hecho |
+| Auto-fix crea `.gitignore` si no existe | ✅ Hecho |
 
 ---
 

docs/es/User-Guide.md

@@ -16,6 +16,7 @@
   - [Autocompletado en Shell](#-autocompletado-en-shell)
   - [Gestión de Variables de Entorno](#-gestión-de-variables-de-entorno)
   - [Diagnósticos](#-diagnósticos)
+  - [Escaneo de Seguridad](#-escaneo-de-seguridad)
   - [Ayuda y Versión](#-ayuda-y-versión)
 - [Variables de Entorno](#-variables-de-entorno)
   - [¿Qué Son?](#qué-son)
@@ -691,6 +692,38 @@ Muestra solo la nota por proyecto sin detalles:
 
 ---
 
+### 🔹 Escaneo de Seguridad
+
+#### Escanear todos los proyectos
+```bash
+pm secure
+```
+
+Ejecuta 5 verificaciones de seguridad basadas en el sistema de archivos en cada proyecto:
+
+| Verificación | Condición para pasar | Recomendación si falla |
+|-------------|---------------------|----------------------|
+| Dockerfile no-root | No hay Dockerfile, o contiene directiva `USER` (no root) | Añade USER para no ejecutar como root |
+| Protección .env | `.gitignore` contiene patrones `.env` | Añade .env a .gitignore para evitar filtrar secretos |
+| Solo HTTPS | No hay URLs `http://` en archivos de configuración (excluyendo localhost) | Reemplaza http:// con https:// |
+| Archivos sensibles | `.gitignore` contiene `*.pem` y `*.key` | Añade *.pem y *.key a .gitignore |
+| Lockfile | Lockfile de dependencias existe para el tipo de proyecto | Commitea tu lockfile contra ataques de supply-chain |
+
+Coloreado: **5/5** = verde, **3–4/5** = amarillo, **0–2/5** = rojo
+
+#### Auto-corregir problemas de .gitignore
+```bash
+pm secure --fix
+```
+
+Añade automáticamente entradas faltantes a `.gitignore`:
+- `.env` y `.env.*` (archivos de entorno)
+- `*.pem`, `*.key`, `*.p12`, `*.pfx` (claves privadas y certificados)
+
+Crea `.gitignore` si no existe. **No** duplica entradas existentes.
+
+---
+
 ### 🔹 Ayuda y Versión
 
 #### Ver ayuda
@@ -1638,6 +1671,10 @@ pm completions powershell                          # Generar script para PowerSh
 pm doctor                                          # Reporte completo: runtimes + salud (A-F)
 pm doctor --score                                  # Compacto: solo calificaciones por proyecto
 
+# === SEGURIDAD ===
+pm secure                                          # Escanear proyectos buscando problemas de seguridad
+pm secure --fix                                    # Auto-corregir problemas de .gitignore
+
 # === ACTUALIZACIONES ===
 pm update                                          # Actualizar a última versión
 

pom.xml

@@ -8,7 +8,7 @@
     <!-- Identificación del proyecto -->
     <groupId>pm</groupId>
     <artifactId>projectmanager</artifactId>
-    <version>1.6.1</version>
+    <version>1.6.2</version>
     <packaging>jar</packaging>
 
     <name>ProjectManager</name>

scripts/install.ps1

@@ -1,7 +1,7 @@
 # ProjectManager - Installation Script for Windows
 # Works both from source (mvn clean package) and from GitHub Release download
 
-$jarName = "projectmanager-1.6.1.jar"
+$jarName = "projectmanager-1.6.2.jar"
 
 Write-Host "=== ProjectManager Installer ===" -ForegroundColor Cyan
 Write-Host ""

scripts/install.sh

@@ -2,7 +2,7 @@
 # ProjectManager - Installation Script for Linux/Mac
 # Works both from source (mvn clean package) and from GitHub Release download
 
-JAR_NAME="projectmanager-1.6.1.jar"
+JAR_NAME="projectmanager-1.6.2.jar"
 
 echo "=== ProjectManager Installer ==="
 echo ""