Files
motor-de-encuestas/migrate-claude/TECH_DEBT_ACTUALIZADO.md
markosbenitez 157e108322 Los triggers 1.1, 1.6, 1.13 muestran solo Sí · No (sin "Prefiero no decir")
Al responder "No" en las tres, el formulario salta a 6.4 (no muestra secciones 2-5 ni 6.1-6.3)
La pregunta 6.6 aparece antes del cierre
Las preguntas multiple_choice muestran el hint "Podés marcar más de una opción"
2026-06-10 15:49:05 -03:00

2.7 KiB

TECH_DEBT.md — actualización junio 2026

Para aplicar en el repo del proyecto

Reemplazar el contenido existente de TECH_DEBT.md en el repo con este bloque, o mergear los ítems nuevos si ya existe el archivo con otros ítems previos.


Deuda técnica abierta

TECH-DEBT-006 — Backup remoto S3

Estado: ABIERTO — BLOQUEANTE antes del primer dato real de empresa Descripción: Los backups locales están configurados y funcionando (GFS, 3AM diario, retención 3 días + domingos 14 días). Pero los backups viven solo en el mismo VPS. Si el VPS muere, se pierden datos Y backups. Solución: rsync nocturno a S3-compatible (Backblaze B2 o Wasabi, ~USD 5/mes) usando rclone. Referencia: BACKUP_STRATEGY.md sección 5 — TECH-DEBT-006.

TECH-DEBT-007 — auth.jwt() deprecado en GoTrue v2.189+

Estado: ABIERTO — no bloqueante para el piloto Descripción: Las funciones helper current_app_role() y current_org_id() en migration 003 usan auth.jwt() que fue eliminado en GoTrue v2.189+. Las políticas que dependen de estas funciones no se crearon:

  • org_select_own en organizations
  • surveys_select_auth en surveys
  • questions_select_auth en questions Impacto actual: ninguno — el dashboard usa service_role que bypasa RLS. Los respondentes usan anon que tiene las políticas básicas de INSERT. Impacto futuro: org_admin no podrá autenticarse con custom claims (app_role, org_id) hasta resolver esto. Solución: migrar a auth.session() o implementar JWT claims via hook de GoTrue v2. NO resolver hasta tener caso de uso real de org_admin autenticado.

CVE-2025-66478 — Next.js 15.3.3 con vulnerabilidad de seguridad

Estado: ABIERTO — BLOQUEANTE antes del primer dato real de empresa Descripción: Next.js 15.3.3 tiene una vulnerabilidad de seguridad crítica. El build lo reporta explícitamente: "This version has a security vulnerability. Please upgrade to a patched version." Solución: actualizar next en package.json a la versión parcheada disponible, correr npm install, hacer redeploy. Referencia: https://nextjs.org/blog/CVE-2025-66478


Deuda técnica cerrada en Sprint 3

TECH-DEBT-002 — KPI NPS eliminado

KPI NPS eliminado — instrumento no tiene pregunta NPS.

TECH-DEBT-003 — Brecha de políticas

Widget W6 redefinido como demanda-only (6.2), sin oferta. Documentado.

TECH-DEBT-004 — Intención directa de salida no capturada

Intención directa de salida laboral no capturada en el instrumento v2. No resuelto pero documentado como gap conocido.

TECH-DEBT-005 — A1 País vs A1b

Cerrado: A1 ya es Departamento (18 opciones Paraguay) en el instrumento final.