#!/bin/bash
# Reject commits that contain REDACTED in YAML files.
# "REDACTED" is valid base64 — if ArgoCD applies it, it corrupts secrets.

REDACTED_FILES=$(git diff --cached --name-only --diff-filter=ACM | grep '\.ya\?ml$' | xargs grep -l 'REDACTED' 2>/dev/null)

if [ -n "$REDACTED_FILES" ]; then
  echo ""
  echo "ERROR: los siguientes archivos contienen 'REDACTED':"
  echo "$REDACTED_FILES" | sed 's/^/  /'
  echo ""
  echo "Los secrets con datos sensibles NO deben ir en este repo."
  echo "Elimina el campo 'data:' del manifest o borra el archivo."
  echo "Ver README.md para instrucciones de gestión de secrets."
  echo ""
  exit 1
fi