#!/usr/bin/env bash
# scan_secrets_in_dirty — Para un repo git, lista archivos modificados/nuevos
# cuyo nombre matchee patron de secret. Stdout vacio si no hay matches.
# Exit 0 siempre que el repo exista (el caller decide si abortar).

scan_secrets_in_dirty() {
    local repo_dir="${1:-.}"

    # Accept both regular repos (.git is a directory) and worktrees (.git is a
    # file containing "gitdir: ..." pointer).
    if [[ ! -d "$repo_dir/.git" && ! -f "$repo_dir/.git" ]]; then
        echo "scan_secrets_in_dirty: '$repo_dir' no es un repo git" >&2
        return 1
    fi

    # Listar archivos modificados o nuevos (excluyendo borrados)
    # y filtrar por patron de secret en el nombre del archivo.
    # Excluye extensiones de codigo (sh/go/py/ts/md/etc) para no marcar el
    # propio scanner ni docs que hablen de "secret"/"token".
    git -C "$repo_dir" status --porcelain \
        | awk '{print $NF}' \
        | grep -E '(^|/)(\.env(\..*)?$|.*credentials.*|.*\.key$|.*\.pem$|id_rsa.*|.*secret.*|.*token.*\.txt$)' \
        | grep -Ev '\.(sh|go|py|ts|tsx|js|jsx|md|rs|cpp|h|hpp|c|java|rb|html|css)$' \
        || true
}

if [[ "${BASH_SOURCE[0]}" == "${0}" ]]; then
    scan_secrets_in_dirty "$@"
fi