Tessera es un broker de acceso remoto que permite a un anfitrión otorgar acceso temporal y concreto a un recurso local —como una base de datos o un servidor de desarrollo— mediante un código de un solo uso. La herramienta está diseñada para escenarios donde se necesita dar acceso puntual y revocable a un colaborador externo, sin dejar puertos abiertos ni tokens persistentes.
El flujo es simple: el anfitrión ejecuta 'tessera share -port 5432' y genera un código de ocho caracteres. El invitado ejecuta 'tessera join CODE' y entonces aparece una solicitud en la terminal del anfitrión, indicando quién solicita acceso y con qué motivo. Si el anfitrión teclea 'y', se abre un túnel cifrado que redirige un puerto local del invitado al recurso del anfitrión. La sesión finaliza cuando cualquiera de las dos partes pulsa Ctrl-C o cuando se agota un tiempo de inactividad de 30 minutos.
Tessera no es una VPN ni una URL pública estable. No almacena cuentas ni tokens entre sesiones. Cada petición, aprobación y cierre queda registrado en un log de auditoría de solo añadidura.
La arquitectura consta de tres binarios escritos en Go: el coordinador, que actúa como intermediario en un servidor público; el agente, que se ejecuta en la máquina del anfitrión y establece una conexión saliente hacia el coordinador; y la CLI del invitado, que solicita acceso. Las comunicaciones utilizan mTLS, por lo que el coordinador solo ve tráfico cifrado y no puede inspeccionar los datos.
Entre los casos de uso destacan la programación en pareja remota, sesiones de soporte técnico donde el cliente comparte un puerto de su aplicación, depuración de bases de datos por parte de un contratista y acceso shell puntual. Para este último, Tessera ofrece un flag '-shell' que abre una terminal remota, aunque el manual de seguridad advierte sobre sus implicaciones.
Tessera se encuentra en estado pre-1.0 y no ha pasado por una auditoría de seguridad independiente. Por tanto, no se recomienda su uso en sistemas productivos o sensibles sin dicha revisión. El proyecto se despliega mediante Docker o binarios estáticos, y el coordinador requiere un servidor con dirección pública (por ejemplo, un VPS de 5 USD al mes).
En resumen, Tessera ofrece un mecanismo de acceso remoto efímero, centrado en el consentimiento explícito del anfitrión y en la auditoría completa de cada sesión. Es una alternativa ligera a herramientas como VPN o túneles SSH persistentes cuando se necesita control granular y trazabilidad.