@daniel-da-silva-alves/sddk 2.0.0 → 2.1.0

package/sddk/skills/code-review/references/anti-ai-design-patterns.md

@@ -1,69 +1,69 @@
-# Anti-Design de IA — 8 Padrões a Detectar e Rejeitar
+# Anti-AI-Design — 8 Patterns to Detect and Reject
 
-Estes são padrões que denunciam código gerado por IA sem curadoria humana. O agente DEVE detectar e corrigir todos eles durante o Code Review.
+These are patterns that expose AI-generated code without human curation. The agent MUST detect and fix all of them during Code Review.
 
 ---
 
-## Padrão 1: Emojis em Interface
+## Pattern 1: Emojis in Interface
 
-### O que detectar
-Emojis usados como conteúdo textual em elementos de interface do usuário.
+### What to detect
+Emojis used as textual content in user interface elements.
 
-### Onde procurar
-- Textos de botões
-- Labels de formulários
-- Headings e títulos
-- Placeholders de inputs
-- Mensagens de feedback/toast
-- Navegação (menus, breadcrumbs)
+### Where to look
+- Button text
+- Form labels
+- Headings and titles
+- Input placeholders
+- Feedback/toast messages
+- Navigation (menus, breadcrumbs)
 
-### Exemplos
+### Examples
 
-❌ **Ruim**:
+❌ **Bad**:
 ```html
-<button>🚀 Enviar Projeto</button>
-<h1>📊 Dashboard de Vendas</h1>
-<input placeholder="🔍 Pesquisar..." />
-<span>✅ Salvo com sucesso!</span>
+<button>🚀 Submit Project</button>
+<h1>📊 Sales Dashboard</h1>
+<input placeholder="🔍 Search..." />
+<span>✅ Saved successfully!</span>
 ```
 
-✅ **Bom**:
+✅ **Good**:
 ```html
-<button>Enviar Projeto</button>
-<h1>Dashboard de Vendas</h1>
-<input placeholder="Pesquisar produtos, pedidos ou clientes" />
-<span>Alterações salvas</span>
+<button>Submit Project</button>
+<h1>Sales Dashboard</h1>
+<input placeholder="Search products, orders, or customers" />
+<span>Changes saved</span>
 ```
 
-### Exceção
-Emojis são aceitáveis em: conteúdo gerado por usuários (chat, comentários), campos de dados (não de UI), e quando o design system do projeto explicitamente os inclui.
+### Exception
+Emojis are acceptable in: user-generated content (chat, comments), data fields (not UI), and when the project's design system explicitly includes them.
 
 ---
 
-## Padrão 2: CSS/Tailwind Genérico
+## Pattern 2: Generic CSS/Tailwind
 
-### O que detectar
-Estilos visuais aplicados sem coerência com um design system. Cores aleatórias, tamanhos inconsistentes, espaçamentos ad-hoc.
+### What to detect
+Visual styles applied without coherence with a design system. Random colors, inconsistent sizes, ad-hoc spacing.
 
-### Exemplos
+### Examples
 
-❌ **Ruim**:
+❌ **Bad**:
 ```html
 <div class="bg-blue-500 text-white p-4 rounded-lg shadow-lg">
-  <h2 class="text-2xl font-bold mb-2">Título</h2>
-  <p class="text-gray-200">Descrição aqui</p>
+  <h2 class="text-2xl font-bold mb-2">Title</h2>
+  <p class="text-gray-200">Description here</p>
 </div>
 ```
 
-✅ **Bom** (com design tokens):
+✅ **Good** (with design tokens):
 ```html
 <div class="bg-surface-primary text-on-surface p-card rounded-card shadow-card">
-  <h2 class="text-heading-md font-heading mb-spacing-sm">Título</h2>
-  <p class="text-body-md text-on-surface-secondary">Descrição aqui</p>
+  <h2 class="text-heading-md font-heading mb-spacing-sm">Title</h2>
+  <p class="text-body-md text-on-surface-secondary">Description here</p>
 </div>
 ```
 
-Ou com CSS variables:
+Or with CSS variables:
 ```css
 .card {
   background: var(--color-surface-primary);
@@ -75,29 +75,29 @@ Ou com CSS variables:
 
 ---
 
-## Padrão 3: Comentários Óbvios
+## Pattern 3: Obvious Comments
 
-### O que detectar
-Comentários que reescrevem em português/inglês o que o código já diz.
+### What to detect
+Comments that restate in natural language what the code already says.
 
-### Exemplos
+### Examples
 
-❌ **Ruim**:
+❌ **Bad**:
 ```typescript
-// Importa o serviço de usuários
+// Import the users service
 import { UserService } from './user.service';
 
-// Define a variável contador como 0
+// Set the counter variable to 0
 let counter = 0;
 
-// Incrementa o contador
+// Increment the counter
 counter++;
 
-// Retorna a resposta
+// Return the response
 return response;
 ```
 
-✅ **Bom** (sem comentários — o código é autoexplicativo):
+✅ **Good** (no comments — the code is self-explanatory):
 ```typescript
 import { UserService } from './user.service';
 let counter = 0;
@@ -107,79 +107,79 @@ return response;
 
 ---
 
-## Padrão 4: Nomes Genéricos
+## Pattern 4: Generic Names
 
-### O que detectar
-Variáveis, funções e componentes com nomes que não descrevem seu conteúdo ou propósito.
+### What to detect
+Variables, functions, and components with names that don't describe their content or purpose.
 
-### Lista de Nomes Proibidos
+### Prohibited Names List
 
-| Contexto | Nomes Genéricos ❌ |
+| Context | Generic Names ❌ |
 |:---|:---|
-| Variáveis | `data`, `result`, `temp`, `item`, `obj`, `val`, `info`, `stuff` |
-| Funções | `handleClick`, `handleChange`, `handleSubmit`, `getData`, `processData`, `doStuff`, `check` |
-| Componentes | `Card`, `Modal`, `List`, `Item`, `Container`, `Wrapper` (sem qualificador) |
-| Tipos | `Props`, `Data`, `Response`, `Payload` (sem qualificador) |
+| Variables | `data`, `result`, `temp`, `item`, `obj`, `val`, `info`, `stuff` |
+| Functions | `handleClick`, `handleChange`, `handleSubmit`, `getData`, `processData`, `doStuff`, `check` |
+| Components | `Card`, `Modal`, `List`, `Item`, `Container`, `Wrapper` (without qualifier) |
+| Types | `Props`, `Data`, `Response`, `Payload` (without qualifier) |
 
 ---
 
-## Padrão 5: Componentes Monolíticos
+## Pattern 5: Monolithic Components
 
-### O que detectar
-Arquivos de componente com mais de ~150 linhas significativas que misturam múltiplas responsabilidades.
+### What to detect
+Component files with more than ~150 meaningful lines that mix multiple responsibilities.
 
-### Sinais
-- Múltiplos `useState`/`useEffect` não relacionados no mesmo componente
-- Renderização condicional extensa (múltiplos `if/else` ou ternários aninhados)
-- Lógica de negócio misturada com UI
-- Formulário, tabela e gráfico no mesmo componente
+### Signs
+- Multiple unrelated `useState`/`useEffect` in the same component
+- Extensive conditional rendering (multiple nested `if/else` or ternaries)
+- Business logic mixed with UI
+- Form, table, and chart in the same component
 
 ---
 
-## Padrão 6: Código Boilerplate Repetitivo
+## Pattern 6: Repetitive Boilerplate Code
 
-### O que detectar
-Padrões de código idênticos ou quase idênticos repetidos em múltiplos arquivos sem abstração.
+### What to detect
+Identical or near-identical code patterns repeated across multiple files without abstraction.
 
-### Sinais
-- Fetch/API calls repetidos sem cliente centralizado
-- Validações duplicadas entre formulários
-- Tratamento de loading/error state repetido
-- Formatações de data/moeda duplicadas
+### Signs
+- Repeated fetch/API calls without a centralized client
+- Duplicated validations across forms
+- Repeated loading/error state handling
+- Duplicated date/currency formatting
 
 ---
 
-## Padrão 7: UI "Tutorial de YouTube"
+## Pattern 7: "YouTube Tutorial" UI
 
-### O que detectar
-Interfaces que parecem screenshots de tutoriais genéricos — funcionais mas sem identidade visual.
+### What to detect
+Interfaces that look like screenshots from generic tutorials — functional but without visual identity.
 
-### Sinais
-- Cards com `box-shadow` padrão do framework sem personalização
-- Gradientes genéricos (`linear-gradient(to right, blue, purple)`)
-- Cores padrão do Tailwind sem customização (`blue-500`, `gray-700`)
-- Layout grid básico sem hierarquia visual
-- Tipografia padrão do browser (sem fonte customizada)
-- Ícones genéricos de bibliotecas sem curadoria
+### Signs
+- Cards with default framework `box-shadow` without customization
+- Generic gradients (`linear-gradient(to right, blue, purple)`)
+- Default Tailwind colors without customization (`blue-500`, `gray-700`)
+- Basic grid layout without visual hierarchy
+- Default browser typography (no custom font)
+- Generic library icons without curation
 
 ---
 
-## Padrão 8: Textos Placeholder Genéricos
+## Pattern 8: Generic Placeholder Text
 
-### O que detectar
-Textos que demonstram falta de cuidado com o conteúdo real da interface.
+### What to detect
+Text that demonstrates lack of care with the actual interface content.
 
-### Lista de Textos Proibidos
+### Prohibited Text List
 
-| Contexto | Textos Genéricos ❌ |
+| Context | Generic Text ❌ |
 |:---|:---|
-| Conteúdo | "Lorem ipsum dolor sit amet" |
-| Botões | "Click here", "Submit", "Send", "OK", "Go" |
+| Content | "Lorem ipsum dolor sit amet" |
+| Buttons | "Click here", "Submit", "Send", "OK", "Go" |
 | Links | "Read more", "Learn more", "Click here" |
 | Placeholders | "Enter text here", "Type something...", "Search..." |
 | Labels | "Label", "Field", "Input" |
 | Headings | "Title", "Heading", "Section" |
 | Error msgs | "An error occurred", "Something went wrong" |
 
-### O que usar no lugar
-Textos reais e descritivos baseados no domínio da aplicação, extraídos dos requisitos funcionais do SRS.
+### What to use instead
+Real and descriptive text based on the application domain, extracted from the SRS functional requirements.

package/sddk/skills/code-review/references/refactoring-severity-guide.md

@@ -1,96 +1,96 @@
-# Guia de Classificação de Severidade de Refatorações
+# Refactoring Severity Classification Guide
 
-Use este guia para classificar cada issue encontrada durante o Code Review. A classificação determina a **ação imediata** a ser tomada.
+Use this guide to classify each issue found during Code Review. The classification determines the **immediate action** to be taken.
 
 ---
 
-## Severidades
+## Severities
 
-### 🔴 Crítica — Execução Imediata
+### 🔴 Critical — Immediate Execution
 
-Issues que **devem ser corrigidas na mesma sessão** antes de considerar a feature concluída.
+Issues that **must be fixed in the same session** before considering the feature complete.
 
-#### Critérios para Classificar como Crítica:
+#### Criteria for Classifying as Critical:
 
-| Categoria | Exemplos |
+| Category | Examples |
 |:---|:---|
-| **Segurança** | SQL injection, XSS, IDOR, secrets expostos, senhas em plaintext |
-| **Bug funcional** | Feature não funciona conforme SRS, crash em fluxo principal |
-| **Violação grave do SDD** | Arquitetura implementada diferente do design (ex: lógica de negócio no controller) |
-| **Perda de dados** | Operações destrutivas sem confirmação, falta de validação em deletes |
+| **Security** | SQL injection, XSS, IDOR, exposed secrets, plaintext passwords |
+| **Functional bug** | Feature doesn't work per SRS, crash in main flow |
+| **Severe SDD violation** | Architecture implemented differently from design (e.g.: business logic in controller) |
+| **Data loss** | Destructive operations without confirmation, missing validation on deletes |
 
-#### Ação:
-1. Corrigir o código diretamente
-2. Documentar o que foi corrigido no relatório de review
-3. Se houver mais de 5 correções críticas, criar microtasks e voltar para Skill 4
+#### Action:
+1. Fix the code directly
+2. Document what was fixed in the review report
+3. If there are more than 5 critical fixes, create microtasks and return to Skill 4
 
 ---
 
-### 🟡 Média — Documentar no Backlog
+### 🟡 Medium — Document in Backlog
 
-Issues que **afetam qualidade mas não impedem o funcionamento**. Devem ser resolvidas antes do próximo release ou sprint.
+Issues that **affect quality but don't prevent functionality**. Should be resolved before the next release or sprint.
 
-#### Critérios para Classificar como Média:
+#### Criteria for Classifying as Medium:
 
-| Categoria | Exemplos |
+| Category | Examples |
 |:---|:---|
-| **Code smell** | Duplicação de código, funções muito longas, complexidade ciclomática alta |
-| **Naming** | Nomes inconsistentes entre arquivos, convenções misturadas |
-| **Anti-IA detectado** | Emojis em UI, CSS genérico, comentários óbvios |
-| **Componentização** | Componente com múltiplas responsabilidades (mas funcional) |
-| **Configuração** | CORS aberto, falta de rate limiting, validação apenas no frontend |
+| **Code smell** | Code duplication, overly long functions, high cyclomatic complexity |
+| **Naming** | Inconsistent names across files, mixed conventions |
+| **Anti-AI detected** | Emojis in UI, generic CSS, obvious comments |
+| **Componentization** | Component with multiple responsibilities (but functional) |
+| **Configuration** | Open CORS, missing rate limiting, frontend-only validation |
 
-#### Ação:
-1. Documentar em `.specs/features/{feature}/refactoring-backlog.md`
-2. Incluir: arquivo, linha, descrição, sugestão de correção
-3. Priorizar dentro do backlog
+#### Action:
+1. Document in `.specs/features/{feature}/refactoring-backlog.md`
+2. Include: file, line, description, fix suggestion
+3. Prioritize within the backlog
 
 ---
 
-### 🟢 Baixa — Documentar no Backlog (Baixa Prioridade)
+### 🟢 Low — Document in Backlog (Low Priority)
 
-Issues que são **melhorias opcionais** de estética, performance ou organização. Não urgentes.
+Issues that are **optional improvements** to aesthetics, performance, or organization. Not urgent.
 
-#### Critérios para Classificar como Baixa:
+#### Criteria for Classifying as Low:
 
-| Categoria | Exemplos |
+| Category | Examples |
 |:---|:---|
-| **Otimização** | Queries que poderiam ser mais eficientes (mas funcionam) |
-| **Estilo** | Formatação inconsistente (que um linter resolveria) |
-| **Documentação** | Falta de JSDoc em funções públicas |
-| **Organização** | Arquivo poderia estar em outro diretório (mas funciona onde está) |
-| **DX** | Mensagens de log pouco informativas |
+| **Optimization** | Queries that could be more efficient (but work) |
+| **Style** | Inconsistent formatting (that a linter would fix) |
+| **Documentation** | Missing JSDoc on public functions |
+| **Organization** | File could be in a different directory (but works where it is) |
+| **DX** | Uninformative log messages |
 
-#### Ação:
-1. Documentar em `.specs/features/{feature}/refactoring-backlog.md`
-2. Marcar como baixa prioridade
-3. Resolver quando houver tempo disponível
+#### Action:
+1. Document in `.specs/features/{feature}/refactoring-backlog.md`
+2. Mark as low priority
+3. Resolve when time is available
 
 ---
 
-## Árvore de Decisão
+## Decision Tree
 
 ```
-O código funciona incorretamente ou tem falha de segurança?
-├── SIM → 🔴 Crítica → CORRIGIR AGORA
-└── NÃO
-    └── O código viola boas práticas, convenções ou o SDD?
-        ├── SIM → 🟡 Média → BACKLOG (prioridade)
-        └── NÃO
-            └── O código pode ser melhorado mas está OK?
-                ├── SIM → 🟢 Baixa → BACKLOG (quando possível)
-                └── NÃO → ✅ Sem issue
+Does the code work incorrectly or have a security flaw?
+├── YES → 🔴 Critical → FIX NOW
+└── NO
+    └── Does the code violate best practices, conventions, or the SDD?
+        ├── YES → 🟡 Medium → BACKLOG (priority)
+        └── NO
+            └── Can the code be improved but is it OK?
+                ├── YES → 🟢 Low → BACKLOG (when possible)
+                └── NO → ✅ No issue
 ```
 
-## Formato do Backlog Entry
+## Backlog Entry Format
 
 ```markdown
-### RB-{número}: {Título descritivo}
-- **Severidade**: 🟡 Média / 🟢 Baixa
-- **Arquivo**: `{caminho/do/arquivo.ext}`
-- **Linha(s)**: {L42-L58}
-- **Categoria**: {Code Smell | Naming | Anti-IA | Segurança | Performance | Organização}
-- **Descrição**: {O que está errado}
-- **Sugestão**: {Como corrigir}
-- **Esforço estimado**: {Baixo | Médio | Alto}
+### RB-{number}: {Descriptive title}
+- **Severity**: 🟡 Medium / 🟢 Low
+- **File**: `{path/to/file.ext}`
+- **Line(s)**: {L42-L58}
+- **Category**: {Code Smell | Naming | Anti-AI | Security | Performance | Organization}
+- **Description**: {What's wrong}
+- **Suggestion**: {How to fix}
+- **Estimated effort**: {Low | Medium | High}
 ```

package/sddk/skills/code-review/references/security-checklist.md

@@ -1,22 +1,22 @@
-# Checklist de Segurança para Code Review
+# Security Checklist for Code Review
 
-Checklist simplificado baseado no OWASP Top 10, adaptado para revisão de código de features individuais.
+Simplified checklist based on the OWASP Top 10, adapted for individual feature code review.
 
 ---
 
-## 1. Injeção (SQL, XSS, Command)
+## 1. Injection (SQL, XSS, Command)
 
-- [ ] **SQL Injection**: Queries usam parametrização/prepared statements (nunca concatenação de strings)
-- [ ] **XSS**: Inputs de usuário são sanitizados antes de renderizar no DOM
-- [ ] **Command Injection**: Inputs de usuário NUNCA são passados diretamente para execução de comandos do sistema
-- [ ] **Template Injection**: Templates (Handlebars, EJS, Jinja) escapam variáveis por padrão
+- [ ] **SQL Injection**: Queries use parameterization/prepared statements (never string concatenation)
+- [ ] **XSS**: User inputs are sanitized before rendering in the DOM
+- [ ] **Command Injection**: User inputs are NEVER passed directly to system command execution
+- [ ] **Template Injection**: Templates (Handlebars, EJS, Jinja) escape variables by default
 
-### O que verificar
+### What to verify
 ```typescript
 // ❌ SQL Injection
 db.query(`SELECT * FROM users WHERE id = '${userId}'`);
 
-// ✅ Parameterizado
+// ✅ Parameterized
 db.query('SELECT * FROM users WHERE id = $1', [userId]);
 ```
 
@@ -24,38 +24,38 @@ db.query('SELECT * FROM users WHERE id = $1', [userId]);
 // ❌ XSS
 element.innerHTML = userInput;
 
-// ✅ Sanitizado
+// ✅ Sanitized
 element.textContent = userInput;
 ```
 
 ---
 
-## 2. Autenticação
+## 2. Authentication
 
-- [ ] Senhas são hasheadas com algoritmo forte (bcrypt, argon2, scrypt) — nunca MD5/SHA1
-- [ ] Tokens JWT têm expiração definida
-- [ ] Refresh tokens são armazenados de forma segura (httpOnly cookies, não localStorage)
-- [ ] Tentativas de login são limitadas (rate limiting / account lockout)
-- [ ] Logout invalida sessão/token no servidor
+- [ ] Passwords are hashed with a strong algorithm (bcrypt, argon2, scrypt) — never MD5/SHA1
+- [ ] JWT tokens have defined expiration
+- [ ] Refresh tokens are stored securely (httpOnly cookies, not localStorage)
+- [ ] Login attempts are limited (rate limiting / account lockout)
+- [ ] Logout invalidates the session/token on the server
 
 ---
 
-## 3. Autorização
+## 3. Authorization
 
-- [ ] Cada endpoint verifica permissões do usuário autenticado
-- [ ] Não há IDOR (Insecure Direct Object Reference) — usuário A não acessa dados do usuário B
-- [ ] Roles/permissions são validadas no backend (nunca apenas no frontend)
-- [ ] Endpoints admin são protegidos adequadamente
+- [ ] Each endpoint verifies the authenticated user's permissions
+- [ ] No IDOR (Insecure Direct Object Reference) — user A cannot access user B's data
+- [ ] Roles/permissions are validated on the backend (never only on the frontend)
+- [ ] Admin endpoints are properly protected
 
-### O que verificar
+### What to verify
 ```typescript
-// ❌ IDOR — qualquer usuário autenticado acessa qualquer pedido
+// ❌ IDOR — any authenticated user can access any order
 app.get('/api/orders/:id', async (req, res) => {
   const order = await orderRepo.findById(req.params.id);
   return res.json(order);
 });
 
-// ✅ Verificação de propriedade
+// ✅ Ownership verification
 app.get('/api/orders/:id', async (req, res) => {
   const order = await orderRepo.findById(req.params.id);
   if (order.userId !== req.user.id) return res.status(403).json({ error: 'Forbidden' });
@@ -65,67 +65,67 @@ app.get('/api/orders/:id', async (req, res) => {
 
 ---
 
-## 4. Exposição de Dados Sensíveis
+## 4. Sensitive Data Exposure
 
-- [ ] Senhas nunca aparecem em responses de API
-- [ ] Dados sensíveis (CPF, cartão, tokens) não são logados
-- [ ] .env e secrets não estão comitados no git (.gitignore configurado)
-- [ ] Errors de produção não expõem stack traces ou detalhes internos ao cliente
+- [ ] Passwords never appear in API responses
+- [ ] Sensitive data (SSN, credit card, tokens) are not logged
+- [ ] .env and secrets are not committed to git (.gitignore configured)
+- [ ] Production errors don't expose stack traces or internal details to the client
 
-### O que verificar
+### What to verify
 ```typescript
-// ❌ Expõe senha
+// ❌ Exposes password
 return res.json(user);
 
-// ✅ Omite campos sensíveis
+// ✅ Omits sensitive fields
 const { password, ...safeUser } = user;
 return res.json(safeUser);
 ```
 
 ---
 
-## 5. Configuração de Segurança
+## 5. Security Configuration
 
-- [ ] CORS está configurado para permitir apenas origens necessárias (não `*` em produção)
-- [ ] Headers de segurança configurados (CSP, X-Frame-Options, X-Content-Type-Options)
-- [ ] HTTPS enforced em produção
-- [ ] Secrets/tokens não estão hardcoded no código fonte
+- [ ] CORS is configured to allow only necessary origins (not `*` in production)
+- [ ] Security headers configured (CSP, X-Frame-Options, X-Content-Type-Options)
+- [ ] HTTPS enforced in production
+- [ ] Secrets/tokens are not hardcoded in source code
 
-### O que verificar
+### What to verify
 ```typescript
-// ❌ CORS aberto
+// ❌ Open CORS
 app.use(cors({ origin: '*' }));
 
-// ✅ CORS restrito
+// ✅ Restricted CORS
 app.use(cors({ origin: process.env.ALLOWED_ORIGINS?.split(',') }));
 ```
 
 ---
 
-## 6. Validação de Input
+## 6. Input Validation
 
-- [ ] Todos os inputs de formulário são validados no backend (não apenas no frontend)
-- [ ] Uploads de arquivo validam tipo, tamanho e conteúdo
-- [ ] Paginação tem limites máximos (não permite `limit=999999`)
-- [ ] Campos numéricos validam range (não aceita negativos quando não deveria)
+- [ ] All form inputs are validated on the backend (not only on the frontend)
+- [ ] File uploads validate type, size, and content
+- [ ] Pagination has maximum limits (doesn't allow `limit=999999`)
+- [ ] Numeric fields validate range (doesn't accept negatives when it shouldn't)
 
 ---
 
-## Classificação de Issues de Segurança
+## Security Issue Classification
 
-| Issue | Severidade |
+| Issue | Severity |
 |:---|:---|
-| SQL/XSS/Command Injection | 🔴 Crítica |
-| IDOR (acesso a dados de outros usuários) | 🔴 Crítica |
-| Senha em plaintext / hash fraco | 🔴 Crítica |
-| Secrets hardcoded no código | 🔴 Crítica |
-| Token sem expiração | 🔴 Crítica |
-| CORS `*` em produção | 🟡 Média |
-| Falta de rate limiting | 🟡 Média |
-| Falta de headers de segurança | 🟡 Média |
-| Stack trace em response de erro | 🟡 Média |
-| Validação apenas no frontend | 🟡 Média |
-| Falta de paginação com limite | 🟢 Baixa |
+| SQL/XSS/Command Injection | 🔴 Critical |
+| IDOR (access to other users' data) | 🔴 Critical |
+| Plaintext password / weak hash | 🔴 Critical |
+| Secrets hardcoded in code | 🔴 Critical |
+| Token without expiration | 🔴 Critical |
+| CORS `*` in production | 🟡 Medium |
+| Missing rate limiting | 🟡 Medium |
+| Missing security headers | 🟡 Medium |
+| Stack trace in error response | 🟡 Medium |
+| Frontend-only validation | 🟡 Medium |
+| Missing pagination limit | 🟢 Low |
 
 > [!IMPORTANT]
-> **Toda issue de segurança classificada como Crítica DEVE ser corrigida imediatamente.** Nunca mover para backlog.
+> **Every security issue classified as Critical MUST be fixed immediately.** Never move to backlog.