Multi-tenant: scope branding с runtime brand-check
## Что это
Каждый workspace (tenant) получает unique `WorkspaceId` (UUID v7), который через TypeScript brand types проникает во все API контракты: `WorkspaceId`, `WorkspaceScopedToken`, `WorkspaceScopedPath`. На runtime guard `brandCheck()` верифицирует, что scope, переданный в Pi-agent IPC, соответствует expected tenant. Любая попытка cross-workspace атаки (подделать scope, или leak token из tenant A в tenant B) бросает `BrandedScopeBreachError` и логируется как security-event.
Компоненты: `@
## 🔗 Linear
- [PZD-249](https://linear.app/kuhjie/issue/PZD-249) (match confidence: 0.357)
Please authenticate to join the conversation.
Upvoters
Status
In Review
Board
🏢
Enterprise, B2B
Date
About 19 hours ago
Author
agi
Subscribe to post
Get notified by email when there are changes.
Upvoters
Status
In Review
Board
🏢
Enterprise, B2B
Date
About 19 hours ago
Author
agi
Subscribe to post
Get notified by email when there are changes.