#!/usr/bin/env bash
# scan_secrets_in_dirty — Para un repo git, lista archivos modificados/nuevos
# cuyo nombre matchee patron de secret. Stdout vacio si no hay matches.
# Exit 0 siempre que el repo exista (el caller decide si abortar).

scan_secrets_in_dirty() {
    local repo_dir="${1:-.}"

    if [[ ! -d "$repo_dir/.git" ]]; then
        echo "scan_secrets_in_dirty: '$repo_dir' no es un repo git" >&2
        return 1
    fi

    # Listar archivos modificados o nuevos (excluyendo borrados)
    # y filtrar por patron de secret en el nombre del archivo
    git -C "$repo_dir" status --porcelain \
        | awk '{print $NF}' \
        | grep -E '(^|/)(\.env(\..*)?$|.*credentials.*|.*\.key$|.*\.pem$|id_rsa.*|.*secret.*|.*token.*\.txt$)' \
        || true
}

if [[ "${BASH_SOURCE[0]}" == "${0}" ]]; then
    scan_secrets_in_dirty "$@"
fi