Mapa de Backup Local Sensible de la Triada¶
Objetivo¶
Dar a Kabehz, L0KY y AJCG131281 un mapa claro de qué material local sensible existe, dónde vive y qué debe entrar en backup sin promoverlo por error al repo.
Regla rápida¶
- si contiene secretos, tokens, bundles, memoria privada o evidencias locales no reproducibles, sí entra en backup
- si es preferencia del dispositivo o runtime efímero, no se promueve a git, pero puede requerir backup local
- si es código, docs, policy o contexto común reusable, vive en git y no depende del backup local como única copia
Rutas sensibles o locales a proteger¶
| Clase | Ruta o patrón | Qué contiene | Backup | Git |
|---|---|---|---|---|
| secretos y bundles | .secrets/** |
bundles OAuth, envs locales, material de acceso | critico |
no |
| runtime crudo Codex | .codex/history.jsonl, .codex/state_*.sqlite, .codex/shell_snapshots/, .codex/sessions/, .codex/auth.json |
historial, estado y sesiones locales | alto |
no |
| reglas y confianza local | .codex/rules/**, preferencias locales en .codex/config.toml como trust_level |
decisiones locales del dispositivo | medio |
no |
| memoria privada curada | knowledge/private-memory/actors/<actor>/** |
memoria privada con consentimiento por colaborador | critico |
no salvo scaffolding |
| evidencia de recuperación | outputs/codex-context-recovery/** |
exportaciones desde runtime GUI hacia evidencia local | alto |
selectivo |
| evidencia operativa local | outputs/collaborators/**, outputs/control-plane/**, outputs/proxmox/**, outputs/microk8s/** |
reportes, logs, snapshots y artefactos locales | alto si no es reproducible |
selectivo |
| envs locales de operación | env.dev.local, ops/**/.env*, *.local, *.env fuera de ejemplos |
overrides y credenciales de entorno | critico |
no salvo *.example |
Qué no depender de backup local¶
Estas rutas deben vivir en git como fuente de verdad común:
docs/internal/policies/docs/internal/agent-context/docs/internal/bitacora/docs/portal/scripts/- código y contratos versionados del repo
Prioridad de backup por colaborador¶
Diario¶
.secrets/**knowledge/private-memory/actors/<actor>/**.codex/history.jsonl,state_*.sqlite,shell_snapshots/,sessions/,auth.json- cualquier
*.env,*.localo bundle nuevo generado ese día
Semanal¶
outputs/codex-context-recovery/**outputs/collaborators/**outputs/control-plane/**- outputs locales de
proxmoxomicrok8sque documenten operaciones difíciles de reproducir
Backup mínimo recomendado¶
Snapshot cifrado rápido¶
bash
tar -czf backups/triad-local-sensitive-$(date -u +%Y%m%dT%H%M%SZ).tgz \
.secrets \
knowledge/private-memory \
.codex/history.jsonl \
.codex/state_*.sqlite \
.codex/shell_snapshots \
.codex/sessions \
outputs/codex-context-recovery \
outputs/collaborators \
outputs/control-plane
Copia incremental legible¶
bash
rsync -a --relative \
.secrets \
knowledge/private-memory \
.codex/history.jsonl \
.codex/shell_snapshots \
outputs/codex-context-recovery \
outputs/collaborators \
outputs/control-plane \
/ruta/backup-triada/
Criterio de cuidado¶
- si un artefacto permite reautenticación, acceso o reconstrucción de contexto personal, trátalo como sensible
- si un artefacto solo es preferencia local del dispositivo, no lo subas a git aunque sí puedas respaldarlo
- si dudas, clasifícalo primero como
local/sensibley luego decide si se puede promover tras filtrado humano
Recordatorio contractual¶
Kabehzmantiene la base local protegidaL0KYyAJCG131281deben poder hacer backup de sus secretos, memoria privada y evidencias locales sin mezclarlo con memoria común del repo- ningún backup local sustituye la promoción a bitácora,
agent-contextopoliciescuando el aprendizaje ya es reusable y no sensible