npm - @dewtech/dare-cli - Versions diffs - 2.17.0 → 3.1.0 - Mend

@dewtech/dare-cli 2.17.0 → 3.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (788) hide show

package/templates/ide/claude/.claude/commands/dare-security.md CHANGED Viewed

@@ -1,232 +1,232 @@
-# /dare-security
-Guia completo de segurança para todas as fases do DARE. Use para: revisar o DESIGN/BLUEPRINT com foco em segurança, implementar controles em uma task específica, ou auditar o projeto existente.
-## Como usar
-```
-/dare-security                        # auditoria geral do projeto
-/dare-security task-005               # revisar segurança de uma task específica
-/dare-security design                 # revisar DARE/DESIGN.md com lente de segurança
-/dare-security deps                   # auditar dependências vulneráveis agora
-```
-## Aplicação por fase
-### `/dare-security design` — Revisar DESIGN.md
-Leia `DARE/DESIGN.md` e verifique:
-- [ ] Seção RS-* com requisitos de segurança numerados existe
-- [ ] RS-01 (validação de entrada), RS-02 (hash/criptografia), RS-03 (controle de acesso), RS-04 (auditoria de deps), RS-05 (secrets) presentes
-- [ ] Riscos de segurança identificados com mitigações (SSRF, Injection, Auth bypass...)
-- [ ] Fora do escopo não omite itens de segurança críticos para v1
-### `/dare-security deps` — Auditar dependências
-Execute o comando de auditoria da stack do projeto:
-```bash
-# Detectar stack automaticamente e rodar
-npm audit --audit-level=high         # se package.json presente
-cargo audit                          # se Cargo.toml presente
-pip-audit                            # se requirements.txt / pyproject.toml presente
-composer audit                       # se composer.json presente
-govulncheck ./...                    # se go.mod presente
-```
-**Critério:** CVE HIGH ou CRITICAL = reportar ao usuário com versão afetada, CVE ID e versão corrigida disponível. Propor o fix (bump de versão ou substituição de pacote).
-**Auto-fix quando seguro:**
-```bash
-npm audit fix                        # Node — corrige sem breaking changes
-cargo update                         # Rust — bumpa dentro das constraints do Cargo.toml
-pip install --upgrade [pacote]       # Python — atualizar pacote específico
-```
----
-## OWASP Top 10 — Referência Rápida por Stack
-### A01 — Broken Access Control
-```typescript
-// Node/NestJS — guard + policy
-@UseGuards(JwtAuthGuard, PoliciesGuard)
-@CheckPolicies(ability => ability.can(Action.Update, Post))
-async update(@Param('id') id: string, @CurrentUser() user: User) {
-  // ORM já filtra por ownership via policy
-}
-```
-```python
-# FastAPI — dependency injection para verificar ownership
-async def get_post_or_403(post_id: str, current_user: User = Depends(get_current_user), db: Session = Depends(get_db)):
-    post = db.query(Post).filter(Post.id == post_id, Post.author_id == current_user.id).first()
-    if not post:
-        raise HTTPException(403)
-    return post
-```
-```rust
-// Rust/Axum — extractor verifica ownership
-async fn update_post(
-    State(db): State<Pool<Postgres>>,
-    claims: Claims,  // extraído do JWT
-    Path(post_id): Path<Uuid>,
-    Json(body): Json<UpdatePostBody>,
-) -> Result<Json<Post>, AppError> {
-    let post = sqlx::query_as!(Post,
-        "SELECT * FROM posts WHERE id = $1 AND author_id = $2",
-        post_id, claims.sub  // filtra por owner
-    ).fetch_one(&db).await?;
-    // ...
-}
-```
-### A02 — Cryptographic Failures
-```typescript
-// Node — Argon2 via @node-rs/argon2
-import { hash, verify } from '@node-rs/argon2';
-const hashed = await hash(password);             // hash
-const valid = await verify(hashed, password);    // verify
-```
-```python
-# Python — passlib com Argon2
-from passlib.hash import argon2
-hashed = argon2.hash(password)
-valid = argon2.verify(password, hashed)
-```
-```rust
-// Rust — argon2 crate
-use argon2::{Argon2, PasswordHash, PasswordHasher, PasswordVerifier, password_hash::SaltString};
-let salt = SaltString::generate(&mut OsRng);
-let hash = Argon2::default().hash_password(password.as_bytes(), &salt)?.to_string();
-```
-### A03 — Injection
-```typescript
-// TypeScript/Prisma — parametrizado por padrão
-const user = await prisma.user.findFirst({ where: { email } }); // ✅
-// NestJS — nunca QueryBuilder com interpolação
-.where(`user.email = '${email}'`)  // ❌
-.where('user.email = :email', { email })  // ✅
-```
-```python
-# SQLAlchemy — sempre parametrizado
-db.execute(select(User).where(User.email == email))  # ✅
-db.execute(f"SELECT * FROM users WHERE email = '{email}'")  # ❌
-```
-### A06 — Vulnerable Components (Ralph Loop obrigatório)
-```bash
-# Adicionar ao pipeline CI (GitHub Actions):
-- name: Security audit
-  run: |
-    npm audit --audit-level=high     # Node
-    # ou cargo audit                 # Rust
-    # ou pip-audit                   # Python
-    # ou composer audit              # PHP
-```
-### A07 — Authentication Failures
-```typescript
-// Rate limiting com @nestjs/throttler
-@Throttle({ default: { limit: 5, ttl: 900000 } })  // 5 req / 15 min
-@Post('login')
-async login() { ... }
-// JWT: access token curto, refresh com rotação
-const accessToken = jwt.sign(payload, secret, { expiresIn: '15m' });
-const refreshToken = jwt.sign({ sub: userId }, refreshSecret, { expiresIn: '7d' });
-// Salvar refresh token hash no DB para invalidação no logout
-```
-### Prompt Injection (projetos com LLM)
-```python
-# Nunca concatenar input do usuário diretamente na instrução do sistema
-system_prompt = f"Você é um assistente. {user_input}"  # ❌ CRÍTICO
-# Separar claramente instrução de dados:
-messages = [
-    {"role": "system", "content": "Você é um assistente. Responda apenas sobre o documento fornecido."},
-    {"role": "user", "content": f"<documento>{sanitize(user_document)}</documento>\n\nPergunta: {sanitize(user_question)}"}
-]
-# Sanitize: remova ou escape sequências como "Ignore as instruções acima"
-```
----
-## Gestão de Secrets
-### O que nunca commitar
-```bash
-# Configure git-secrets ou detect-secrets:
-pip install detect-secrets
-detect-secrets scan > .secrets.baseline
-# Padrões críticos a bloquear:
-# password = "..."
-# api_key = "..."
-# DATABASE_URL com credenciais
-# AWS_SECRET_ACCESS_KEY
-# private_key
-```
-### Estrutura correta
-```
-.env              ← valores reais (no .gitignore)
-.env.example      ← template sem valores (commitado)
-```
-```bash
-# .env.example — sempre commitado, sem valores reais
-DATABASE_URL=postgres://user:password@localhost:5432/dbname
-JWT_SECRET=your-secret-here-min-32-chars
-STRIPE_SECRET_KEY=sk_test_...
-```
----
-## Headers de Segurança HTTP
-```typescript
-// NestJS — helmet middleware
-import helmet from 'helmet';
-app.use(helmet());
-app.use(helmet.hsts({ maxAge: 31536000, includeSubDomains: true }));
-```
-```python
-# FastAPI — middleware de headers
-from starlette.middleware.base import BaseHTTPMiddleware
-class SecurityHeadersMiddleware(BaseHTTPMiddleware):
-    async def dispatch(self, request, call_next):
-        response = await call_next(request)
-        response.headers["X-Frame-Options"] = "DENY"
-        response.headers["X-Content-Type-Options"] = "nosniff"
-        response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains"
-        return response
-```
-```rust
-// Axum — layer de headers de segurança
-use tower_http::set_header::SetResponseHeaderLayer;
-let app = Router::new()
-    .layer(SetResponseHeaderLayer::overriding(
-        header::X_FRAME_OPTIONS,
-        HeaderValue::from_static("DENY"),
-    ));
-```
-$ARGUMENTS
+# /dare-security
+Guia completo de segurança para todas as fases do DARE. Use para: revisar o DESIGN/BLUEPRINT com foco em segurança, implementar controles em uma task específica, ou auditar o projeto existente.
+## Como usar
+```
+/dare-security                        # auditoria geral do projeto
+/dare-security task-005               # revisar segurança de uma task específica
+/dare-security design                 # revisar DARE/DESIGN.md com lente de segurança
+/dare-security deps                   # auditar dependências vulneráveis agora
+```
+## Aplicação por fase
+### `/dare-security design` — Revisar DESIGN.md
+Leia `DARE/DESIGN.md` e verifique:
+- [ ] Seção RS-* com requisitos de segurança numerados existe
+- [ ] RS-01 (validação de entrada), RS-02 (hash/criptografia), RS-03 (controle de acesso), RS-04 (auditoria de deps), RS-05 (secrets) presentes
+- [ ] Riscos de segurança identificados com mitigações (SSRF, Injection, Auth bypass...)
+- [ ] Fora do escopo não omite itens de segurança críticos para v1
+### `/dare-security deps` — Auditar dependências
+Execute o comando de auditoria da stack do projeto:
+```bash
+# Detectar stack automaticamente e rodar
+npm audit --audit-level=high         # se package.json presente
+cargo audit                          # se Cargo.toml presente
+pip-audit                            # se requirements.txt / pyproject.toml presente
+composer audit                       # se composer.json presente
+govulncheck ./...                    # se go.mod presente
+```
+**Critério:** CVE HIGH ou CRITICAL = reportar ao usuário com versão afetada, CVE ID e versão corrigida disponível. Propor o fix (bump de versão ou substituição de pacote).
+**Auto-fix quando seguro:**
+```bash
+npm audit fix                        # Node — corrige sem breaking changes
+cargo update                         # Rust — bumpa dentro das constraints do Cargo.toml
+pip install --upgrade [pacote]       # Python — atualizar pacote específico
+```
+---
+## OWASP Top 10 — Referência Rápida por Stack
+### A01 — Broken Access Control
+```typescript
+// Node/NestJS — guard + policy
+@UseGuards(JwtAuthGuard, PoliciesGuard)
+@CheckPolicies(ability => ability.can(Action.Update, Post))
+async update(@Param('id') id: string, @CurrentUser() user: User) {
+  // ORM já filtra por ownership via policy
+}
+```
+```python
+# FastAPI — dependency injection para verificar ownership
+async def get_post_or_403(post_id: str, current_user: User = Depends(get_current_user), db: Session = Depends(get_db)):
+    post = db.query(Post).filter(Post.id == post_id, Post.author_id == current_user.id).first()
+    if not post:
+        raise HTTPException(403)
+    return post
+```
+```rust
+// Rust/Axum — extractor verifica ownership
+async fn update_post(
+    State(db): State<Pool<Postgres>>,
+    claims: Claims,  // extraído do JWT
+    Path(post_id): Path<Uuid>,
+    Json(body): Json<UpdatePostBody>,
+) -> Result<Json<Post>, AppError> {
+    let post = sqlx::query_as!(Post,
+        "SELECT * FROM posts WHERE id = $1 AND author_id = $2",
+        post_id, claims.sub  // filtra por owner
+    ).fetch_one(&db).await?;
+    // ...
+}
+```
+### A02 — Cryptographic Failures
+```typescript
+// Node — Argon2 via @node-rs/argon2
+import { hash, verify } from '@node-rs/argon2';
+const hashed = await hash(password);             // hash
+const valid = await verify(hashed, password);    // verify
+```
+```python
+# Python — passlib com Argon2
+from passlib.hash import argon2
+hashed = argon2.hash(password)
+valid = argon2.verify(password, hashed)
+```
+```rust
+// Rust — argon2 crate
+use argon2::{Argon2, PasswordHash, PasswordHasher, PasswordVerifier, password_hash::SaltString};
+let salt = SaltString::generate(&mut OsRng);
+let hash = Argon2::default().hash_password(password.as_bytes(), &salt)?.to_string();
+```
+### A03 — Injection
+```typescript
+// TypeScript/Prisma — parametrizado por padrão
+const user = await prisma.user.findFirst({ where: { email } }); // ✅
+// NestJS — nunca QueryBuilder com interpolação
+.where(`user.email = '${email}'`)  // ❌
+.where('user.email = :email', { email })  // ✅
+```
+```python
+# SQLAlchemy — sempre parametrizado
+db.execute(select(User).where(User.email == email))  # ✅
+db.execute(f"SELECT * FROM users WHERE email = '{email}'")  # ❌
+```
+### A06 — Vulnerable Components (Ralph Loop obrigatório)
+```bash
+# Adicionar ao pipeline CI (GitHub Actions):
+- name: Security audit
+  run: |
+    npm audit --audit-level=high     # Node
+    # ou cargo audit                 # Rust
+    # ou pip-audit                   # Python
+    # ou composer audit              # PHP
+```
+### A07 — Authentication Failures
+```typescript
+// Rate limiting com @nestjs/throttler
+@Throttle({ default: { limit: 5, ttl: 900000 } })  // 5 req / 15 min
+@Post('login')
+async login() { ... }
+// JWT: access token curto, refresh com rotação
+const accessToken = jwt.sign(payload, secret, { expiresIn: '15m' });
+const refreshToken = jwt.sign({ sub: userId }, refreshSecret, { expiresIn: '7d' });
+// Salvar refresh token hash no DB para invalidação no logout
+```
+### Prompt Injection (projetos com LLM)
+```python
+# Nunca concatenar input do usuário diretamente na instrução do sistema
+system_prompt = f"Você é um assistente. {user_input}"  # ❌ CRÍTICO
+# Separar claramente instrução de dados:
+messages = [
+    {"role": "system", "content": "Você é um assistente. Responda apenas sobre o documento fornecido."},
+    {"role": "user", "content": f"<documento>{sanitize(user_document)}</documento>\n\nPergunta: {sanitize(user_question)}"}
+]
+# Sanitize: remova ou escape sequências como "Ignore as instruções acima"
+```
+---
+## Gestão de Secrets
+### O que nunca commitar
+```bash
+# Configure git-secrets ou detect-secrets:
+pip install detect-secrets
+detect-secrets scan > .secrets.baseline
+# Padrões críticos a bloquear:
+# password = "..."
+# api_key = "..."
+# DATABASE_URL com credenciais
+# AWS_SECRET_ACCESS_KEY
+# private_key
+```
+### Estrutura correta
+```
+.env              ← valores reais (no .gitignore)
+.env.example      ← template sem valores (commitado)
+```
+```bash
+# .env.example — sempre commitado, sem valores reais
+DATABASE_URL=postgres://user:password@localhost:5432/dbname
+JWT_SECRET=your-secret-here-min-32-chars
+STRIPE_SECRET_KEY=sk_test_...
+```
+---
+## Headers de Segurança HTTP
+```typescript
+// NestJS — helmet middleware
+import helmet from 'helmet';
+app.use(helmet());
+app.use(helmet.hsts({ maxAge: 31536000, includeSubDomains: true }));
+```
+```python
+# FastAPI — middleware de headers
+from starlette.middleware.base import BaseHTTPMiddleware
+class SecurityHeadersMiddleware(BaseHTTPMiddleware):
+    async def dispatch(self, request, call_next):
+        response = await call_next(request)
+        response.headers["X-Frame-Options"] = "DENY"
+        response.headers["X-Content-Type-Options"] = "nosniff"
+        response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains"
+        return response
+```
+```rust
+// Axum — layer de headers de segurança
+use tower_http::set_header::SetResponseHeaderLayer;
+let app = Router::new()
+    .layer(SetResponseHeaderLayer::overriding(
+        header::X_FRAME_OPTIONS,
+        HeaderValue::from_static("DENY"),
+    ));
+```
+$ARGUMENTS

package/templates/ide/claude/.claude/commands/dare-tasks.md CHANGED Viewed

@@ -1,70 +1,70 @@
-# /dare-tasks
-Exibe o status atual de todas as tasks do projeto e sugere próximos passos.
-## Como usar
-```
-/dare-tasks
-/dare-tasks --pending
-/dare-tasks --ready
-```
-## O que fazer
-1. **Leia os arquivos:**
-   - `DARE/TASKS.md` — status de cada task
-   - `DARE/dare-dag.yaml` — grafo de dependências
-2. **Exiba uma tabela formatada:**
-   ```
-   | ID       | Título                    | Status      | Depends On       | Complexity |
-   |----------|---------------------------|-------------|------------------|------------|
-   | task-001 | Setup project structure   | ✅ DONE     | -                | LOW        |
-   | task-002 | Implement DB schema       | 🔄 RUNNING  | -                | MED        |
-   | task-003 | Implement core endpoints  | ⏳ PENDING  | task-001, 002    | HIGH       |
-   ```
-3. **Destaque tasks prontas para execução:**
-   - Status `PENDING` E todas as `depends_on` com status `DONE`
-   - Estas podem ser executadas com `/dare-execute <id>`
-4. **Calcule e exiba progresso:**
-   - Total de tasks
-   - Tasks DONE / FAILED / SKIPPED / PENDING / RUNNING
-   - Percentual concluído
-   - Barra visual: `█████░░░░░ 50%`
-5. **Identifique gargalos:**
-   - Tasks com mais dependências
-   - Tasks bloqueando outras
-   - Tasks no caminho crítico
-6. **Filtros opcionais:**
-   - `--pending` — só PENDING
-   - `--ready` — só prontas para execução
-   - `--failed` — só FAILED
-   - `--blocked` — PENDING com dependências não satisfeitas
-## Exemplo de output
-```
-📋 DARE Tasks Status
-| ID       | Título                    | Status      | Depends On       |
-|----------|---------------------------|-------------|------------------|
-| task-001 | Setup project structure   | ✅ DONE     | -                |
-| task-002 | Implement DB schema       | ✅ DONE     | -                |
-| task-003 | Implement core endpoints  | 🟢 READY    | task-001, 002    |
-| task-004 | Implement auth            | 🟢 READY    | task-001, 002    |
-| task-005 | Write tests               | 🔒 BLOCKED  | task-003, 004    |
-Progress: 2/5 tasks (40%)
-████████░░░░░░░░░░░░ 40%
-🟢 Ready to execute: task-003, task-004
-   Run: /dare-execute task-003
-   Or:  dare execute --parallel  (executa task-003 e task-004 em paralelo)
-```
-$ARGUMENTS
+# /dare-tasks
+Exibe o status atual de todas as tasks do projeto e sugere próximos passos.
+## Como usar
+```
+/dare-tasks
+/dare-tasks --pending
+/dare-tasks --ready
+```
+## O que fazer
+1. **Leia os arquivos:**
+   - `DARE/TASKS.md` — status de cada task
+   - `DARE/dare-dag.yaml` — grafo de dependências
+2. **Exiba uma tabela formatada:**
+   ```
+   | ID       | Título                    | Status      | Depends On       | Complexity |
+   |----------|---------------------------|-------------|------------------|------------|
+   | task-001 | Setup project structure   | ✅ DONE     | -                | LOW        |
+   | task-002 | Implement DB schema       | 🔄 RUNNING  | -                | MED        |
+   | task-003 | Implement core endpoints  | ⏳ PENDING  | task-001, 002    | HIGH       |
+   ```
+3. **Destaque tasks prontas para execução:**
+   - Status `PENDING` E todas as `depends_on` com status `DONE`
+   - Estas podem ser executadas com `/dare-execute <id>`
+4. **Calcule e exiba progresso:**
+   - Total de tasks
+   - Tasks DONE / FAILED / SKIPPED / PENDING / RUNNING
+   - Percentual concluído
+   - Barra visual: `█████░░░░░ 50%`
+5. **Identifique gargalos:**
+   - Tasks com mais dependências
+   - Tasks bloqueando outras
+   - Tasks no caminho crítico
+6. **Filtros opcionais:**
+   - `--pending` — só PENDING
+   - `--ready` — só prontas para execução
+   - `--failed` — só FAILED
+   - `--blocked` — PENDING com dependências não satisfeitas
+## Exemplo de output
+```
+📋 DARE Tasks Status
+| ID       | Título                    | Status      | Depends On       |
+|----------|---------------------------|-------------|------------------|
+| task-001 | Setup project structure   | ✅ DONE     | -                |
+| task-002 | Implement DB schema       | ✅ DONE     | -                |
+| task-003 | Implement core endpoints  | 🟢 READY    | task-001, 002    |
+| task-004 | Implement auth            | 🟢 READY    | task-001, 002    |
+| task-005 | Write tests               | 🔒 BLOCKED  | task-003, 004    |
+Progress: 2/5 tasks (40%)
+████████░░░░░░░░░░░░ 40%
+🟢 Ready to execute: task-003, task-004
+   Run: /dare-execute task-003
+   Or:  dare execute --parallel  (executa task-003 e task-004 em paralelo)
+```
+$ARGUMENTS