@luanpdd/kit-mcp 1.35.0 → 1.36.0

package/gates/multi-tenant-rls-coverage.md

@@ -1,102 +1,102 @@
----
-id: multi-tenant-rls-coverage
-stage: pre-verify
-blocking: true
-description: Detecta CREATE TABLE em supabase/migrations/ sem ENABLE ROW LEVEL SECURITY no mesmo arquivo. Cross-tenant data leak silencioso é a falha #1 de apps multi-tenant Supabase. Skip se projeto não tem supabase/migrations/.
----
-
-# Multi-Tenant RLS Coverage gate
-
-**When to run:** pre-verify (blocking — multi-tenant phase não verifica até cobertura completa).
-
-## Check
-
-```bash
-#!/usr/bin/env bash
-# PT-BR: detecta CREATE TABLE em supabase/migrations/ sem ENABLE ROW LEVEL SECURITY no mesmo arquivo.
-# Anti-pitfall #1 multi-tenant: tabela nova sem RLS = cross-tenant leak silencioso (Postgres não aplica policies automaticamente).
-# Bash 3.2-portable (macOS default).
-set -e
-
-MIGRATIONS_DIR="supabase/migrations"
-
-# PT-BR: skip gracioso se projeto não tem migrations Supabase
-if [ ! -d "$MIGRATIONS_DIR" ]; then
-  echo "INFO: $MIGRATIONS_DIR não existe — projeto não usa Supabase migrations. Gate skipped."
-  exit 0
-fi
-
-# PT-BR: tabelas em schemas system não exigem RLS (auth, storage, realtime, vault, supabase_*)
-SYSTEM_SCHEMA_PREFIXES="auth\\.|storage\\.|realtime\\.|vault\\.|supabase_|extensions\\."
-
-# PT-BR: allowlist de tabelas que conscientemente não têm RLS (ex: lookup tables públicas)
-ALLOWLIST_TABLES=(
-  "public.permissions"  # catálogo global de permissions, leitura pública por design
-)
-
-is_allowlisted() {
-  local table="$1"
-  for at in "${ALLOWLIST_TABLES[@]}"; do
-    [ "$table" = "$at" ] && return 0
-  done
-  return 1
-}
-
-VIOLATIONS=0
-VIOLATIONS_DETAIL=""
-
-# PT-BR: iterar migrations em ordem cronológica
-MIGRATION_FILES=$(ls "$MIGRATIONS_DIR"/*.sql 2>/dev/null | sort)
-
-if [ -z "$MIGRATION_FILES" ]; then
-  echo "INFO: nenhum arquivo .sql em $MIGRATIONS_DIR — gate skipped."
-  exit 0
-fi
-
-for f in $MIGRATION_FILES; do
-  # PT-BR: extrair tabelas criadas via CREATE TABLE (case-insensitive, ignora IF NOT EXISTS)
-  CREATED_TABLES=$(grep -iE "^create\s+table\s+(if\s+not\s+exists\s+)?[a-z_]+\." "$f" 2>/dev/null \
-    | sed -E 's/.*create\s+table\s+(if\s+not\s+exists\s+)?([a-z_]+\.[a-z_]+).*/\2/i' \
-    | grep -viE "$SYSTEM_SCHEMA_PREFIXES" || true)
-
-  # PT-BR: extrair tabelas com RLS habilitada no MESMO arquivo
-  RLS_TABLES=$(grep -iE "alter\s+table\s+[a-z_]+\.[a-z_]+\s+enable\s+row\s+level\s+security" "$f" 2>/dev/null \
-    | sed -E 's/.*alter\s+table\s+([a-z_]+\.[a-z_]+)\s+enable.*/\1/i' || true)
-
-  # PT-BR: para cada tabela criada, checar se RLS foi habilitada
-  for table in $CREATED_TABLES; do
-    [ -z "$table" ] && continue
-    is_allowlisted "$table" && continue
-
-    if ! echo "$RLS_TABLES" | grep -qFx "$table"; then
-      VIOLATIONS=$((VIOLATIONS + 1))
-      VIOLATIONS_DETAIL="${VIOLATIONS_DETAIL}
-  $(basename "$f"): tabela '$table' criada sem ENABLE ROW LEVEL SECURITY"
-    fi
-  done
-done
-
-if [ "$VIOLATIONS" -eq 0 ]; then
-  echo "PASS: todas as tabelas em supabase/migrations/ têm RLS habilitada no mesmo arquivo de criação."
-  exit 0
-else
-  echo "FAIL: $VIOLATIONS tabela(s) criada(s) sem ENABLE ROW LEVEL SECURITY:$VIOLATIONS_DETAIL"
-  echo ""
-  echo "Fix: adicione 'alter table <schema>.<table> enable row level security;' no MESMO arquivo de migration que criou a tabela."
-  echo "Ref: kit/skills/multi-tenant-rls-hierarchy/SKILL.md (REGRA #1)"
-  exit 1
-fi
-```
-
-## Verdict
-
-- **passed** — todas tabelas multi-tenant têm RLS habilitada → continuar
-- **block** — apresentar tabela de violations + sugestão de fix; sem opção de skip (anti-pitfall P0 — cross-tenant leak)
-
-## Notes
-
-Este gate só checa **habilitação** de RLS — não checa se as policies cobrem todos os casos. Ver `multi-tenant-isolation-auditor` agent para análise completa de policies (requer MCP Supabase ativo para query a `pg_policies`).
-
-Tabelas em schemas system (`auth.*`, `storage.*`, `realtime.*`, `vault.*`, `supabase_*`, `extensions.*`) são automaticamente skipped — Supabase já aplica RLS interno nelas.
-
-Allowlist mínima: `public.permissions` (catálogo global de permissions, leitura pública por design — tem `to authenticated` em SELECT mas sem isolamento por tenant).
+---
+id: multi-tenant-rls-coverage
+stage: pre-verify
+blocking: true
+description: Detecta CREATE TABLE em supabase/migrations/ sem ENABLE ROW LEVEL SECURITY no mesmo arquivo. Cross-tenant data leak silencioso é a falha #1 de apps multi-tenant Supabase. Skip se projeto não tem supabase/migrations/.
+---
+
+# Multi-Tenant RLS Coverage gate
+
+**When to run:** pre-verify (blocking — multi-tenant phase não verifica até cobertura completa).
+
+## Check
+
+```bash
+#!/usr/bin/env bash
+# PT-BR: detecta CREATE TABLE em supabase/migrations/ sem ENABLE ROW LEVEL SECURITY no mesmo arquivo.
+# Anti-pitfall #1 multi-tenant: tabela nova sem RLS = cross-tenant leak silencioso (Postgres não aplica policies automaticamente).
+# Bash 3.2-portable (macOS default).
+set -e
+
+MIGRATIONS_DIR="supabase/migrations"
+
+# PT-BR: skip gracioso se projeto não tem migrations Supabase
+if [ ! -d "$MIGRATIONS_DIR" ]; then
+  echo "INFO: $MIGRATIONS_DIR não existe — projeto não usa Supabase migrations. Gate skipped."
+  exit 0
+fi
+
+# PT-BR: tabelas em schemas system não exigem RLS (auth, storage, realtime, vault, supabase_*)
+SYSTEM_SCHEMA_PREFIXES="auth\\.|storage\\.|realtime\\.|vault\\.|supabase_|extensions\\."
+
+# PT-BR: allowlist de tabelas que conscientemente não têm RLS (ex: lookup tables públicas)
+ALLOWLIST_TABLES=(
+  "public.permissions"  # catálogo global de permissions, leitura pública por design
+)
+
+is_allowlisted() {
+  local table="$1"
+  for at in "${ALLOWLIST_TABLES[@]}"; do
+    [ "$table" = "$at" ] && return 0
+  done
+  return 1
+}
+
+VIOLATIONS=0
+VIOLATIONS_DETAIL=""
+
+# PT-BR: iterar migrations em ordem cronológica
+MIGRATION_FILES=$(ls "$MIGRATIONS_DIR"/*.sql 2>/dev/null | sort)
+
+if [ -z "$MIGRATION_FILES" ]; then
+  echo "INFO: nenhum arquivo .sql em $MIGRATIONS_DIR — gate skipped."
+  exit 0
+fi
+
+for f in $MIGRATION_FILES; do
+  # PT-BR: extrair tabelas criadas via CREATE TABLE (case-insensitive, ignora IF NOT EXISTS)
+  CREATED_TABLES=$(grep -iE "^create\s+table\s+(if\s+not\s+exists\s+)?[a-z_]+\." "$f" 2>/dev/null \
+    | sed -E 's/.*create\s+table\s+(if\s+not\s+exists\s+)?([a-z_]+\.[a-z_]+).*/\2/i' \
+    | grep -viE "$SYSTEM_SCHEMA_PREFIXES" || true)
+
+  # PT-BR: extrair tabelas com RLS habilitada no MESMO arquivo
+  RLS_TABLES=$(grep -iE "alter\s+table\s+[a-z_]+\.[a-z_]+\s+enable\s+row\s+level\s+security" "$f" 2>/dev/null \
+    | sed -E 's/.*alter\s+table\s+([a-z_]+\.[a-z_]+)\s+enable.*/\1/i' || true)
+
+  # PT-BR: para cada tabela criada, checar se RLS foi habilitada
+  for table in $CREATED_TABLES; do
+    [ -z "$table" ] && continue
+    is_allowlisted "$table" && continue
+
+    if ! echo "$RLS_TABLES" | grep -qFx "$table"; then
+      VIOLATIONS=$((VIOLATIONS + 1))
+      VIOLATIONS_DETAIL="${VIOLATIONS_DETAIL}
+  $(basename "$f"): tabela '$table' criada sem ENABLE ROW LEVEL SECURITY"
+    fi
+  done
+done
+
+if [ "$VIOLATIONS" -eq 0 ]; then
+  echo "PASS: todas as tabelas em supabase/migrations/ têm RLS habilitada no mesmo arquivo de criação."
+  exit 0
+else
+  echo "FAIL: $VIOLATIONS tabela(s) criada(s) sem ENABLE ROW LEVEL SECURITY:$VIOLATIONS_DETAIL"
+  echo ""
+  echo "Fix: adicione 'alter table <schema>.<table> enable row level security;' no MESMO arquivo de migration que criou a tabela."
+  echo "Ref: kit/skills/multi-tenant-rls-hierarchy/SKILL.md (REGRA #1)"
+  exit 1
+fi
+```
+
+## Verdict
+
+- **passed** — todas tabelas multi-tenant têm RLS habilitada → continuar
+- **block** — apresentar tabela de violations + sugestão de fix; sem opção de skip (anti-pitfall P0 — cross-tenant leak)
+
+## Notes
+
+Este gate só checa **habilitação** de RLS — não checa se as policies cobrem todos os casos. Ver `multi-tenant-isolation-auditor` agent para análise completa de policies (requer MCP Supabase ativo para query a `pg_policies`).
+
+Tabelas em schemas system (`auth.*`, `storage.*`, `realtime.*`, `vault.*`, `supabase_*`, `extensions.*`) são automaticamente skipped — Supabase já aplica RLS interno nelas.
+
+Allowlist mínima: `public.permissions` (catálogo global de permissions, leitura pública por design — tem `to authenticated` em SELECT mas sem isolamento por tenant).

package/gates/no-personal-uuid.md

@@ -1,72 +1,72 @@
----
-id: no-personal-uuid
-stage: pre-verify
-blocking: true
-description: Detecta UUIDs no formato [0-9a-f]{8}-[0-9a-f]{4}-... em frontmatter `tools:` ou body de skills/agents/commands. UUID pessoal quebra para outros instaladores (anti-pitfall A12).
----
-
-# No personal UUID gate
-
-**When to run:** pre-verify.
-
-## Check
-
-```bash
-#!/usr/bin/env bash
-# PT-BR: detecta UUID em formato [0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}
-# em frontmatter tools: ou body de kit/{agents,commands,skills}/
-set -e
-
-# allowlist: glossário menciona patterns mas não usa UUID em tools
-ALLOWLIST_FILES=(
-  "kit/skills/_shared-supabase/glossary.md"
-)
-
-VIOLATIONS=0
-
-is_allowlisted() {
-  local file="$1"
-  for af in "${ALLOWLIST_FILES[@]}"; do
-    [ "$file" = "$af" ] && return 0
-  done
-  return 1
-}
-
-check_uuid() {
-  local file="$1"
-  is_allowlisted "$file" && return 0
-
-  # PT-BR: extrair frontmatter (entre --- ... ---)
-  local frontmatter
-  frontmatter=$(awk '/^---$/{i++; next} i==1' "$file" 2>/dev/null || true)
-
-  # PT-BR: buscar UUID em frontmatter (linhas com tools: ou abaixo)
-  if echo "$frontmatter" | grep -qE '[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}'; then
-    echo "FAIL (frontmatter): $file"
-    grep -nE '[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}' "$file" | head -3
-    VIOLATIONS=$((VIOLATIONS + 1))
-  fi
-}
-
-for f in kit/agents/*.md; do [ -f "$f" ] && check_uuid "$f"; done
-for f in kit/commands/*.md; do [ -f "$f" ] && check_uuid "$f"; done
-for f in kit/skills/*/SKILL.md; do [ -f "$f" ] && check_uuid "$f"; done
-
-if [ "$VIOLATIONS" -gt 0 ]; then
-  echo "Total violations: $VIOLATIONS"
-  echo "UUIDs pessoais quebram para outros instaladores. Use mcp__supabase__* canônico."
-  exit 1
-fi
-
-echo "✓ Zero UUIDs pessoais em kit/{agents,commands,skills}/"
-exit 0
-```
-
-## Verdict
-
-- **passed** — zero UUIDs em frontmatter ou body
-- **block** — pelo menos um UUID pessoal detectado (quebra para outros users)
-
-## Notes
-
-Anti-pitfall A12 da v1.8: `schema-checker.md` originalmente usava `mcp__0a712001-6cbb-44ef-a5f4-a24ea40894fa__execute_sql` (UUID do projeto pessoal do user). Distribuído via `@luanpdd/kit-mcp`, isso quebra para qualquer outro instalador. Phase 28 migra para `mcp__supabase__*` canônico. Este gate previne regressão.
+---
+id: no-personal-uuid
+stage: pre-verify
+blocking: true
+description: Detecta UUIDs no formato [0-9a-f]{8}-[0-9a-f]{4}-... em frontmatter `tools:` ou body de skills/agents/commands. UUID pessoal quebra para outros instaladores (anti-pitfall A12).
+---
+
+# No personal UUID gate
+
+**When to run:** pre-verify.
+
+## Check
+
+```bash
+#!/usr/bin/env bash
+# PT-BR: detecta UUID em formato [0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}
+# em frontmatter tools: ou body de kit/{agents,commands,skills}/
+set -e
+
+# allowlist: glossário menciona patterns mas não usa UUID em tools
+ALLOWLIST_FILES=(
+  "kit/skills/_shared-supabase/glossary.md"
+)
+
+VIOLATIONS=0
+
+is_allowlisted() {
+  local file="$1"
+  for af in "${ALLOWLIST_FILES[@]}"; do
+    [ "$file" = "$af" ] && return 0
+  done
+  return 1
+}
+
+check_uuid() {
+  local file="$1"
+  is_allowlisted "$file" && return 0
+
+  # PT-BR: extrair frontmatter (entre --- ... ---)
+  local frontmatter
+  frontmatter=$(awk '/^---$/{i++; next} i==1' "$file" 2>/dev/null || true)
+
+  # PT-BR: buscar UUID em frontmatter (linhas com tools: ou abaixo)
+  if echo "$frontmatter" | grep -qE '[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}'; then
+    echo "FAIL (frontmatter): $file"
+    grep -nE '[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}' "$file" | head -3
+    VIOLATIONS=$((VIOLATIONS + 1))
+  fi
+}
+
+for f in kit/agents/*.md; do [ -f "$f" ] && check_uuid "$f"; done
+for f in kit/commands/*.md; do [ -f "$f" ] && check_uuid "$f"; done
+for f in kit/skills/*/SKILL.md; do [ -f "$f" ] && check_uuid "$f"; done
+
+if [ "$VIOLATIONS" -gt 0 ]; then
+  echo "Total violations: $VIOLATIONS"
+  echo "UUIDs pessoais quebram para outros instaladores. Use mcp__supabase__* canônico."
+  exit 1
+fi
+
+echo "✓ Zero UUIDs pessoais em kit/{agents,commands,skills}/"
+exit 0
+```
+
+## Verdict
+
+- **passed** — zero UUIDs em frontmatter ou body
+- **block** — pelo menos um UUID pessoal detectado (quebra para outros users)
+
+## Notes
+
+Anti-pitfall A12 da v1.8: `schema-checker.md` originalmente usava `mcp__0a712001-6cbb-44ef-a5f4-a24ea40894fa__execute_sql` (UUID do projeto pessoal do user). Distribuído via `@luanpdd/kit-mcp`, isso quebra para qualquer outro instalador. Phase 28 migra para `mcp__supabase__*` canônico. Este gate previne regressão.

package/gates/obs-agents-mcp-supabase.md

@@ -1,86 +1,86 @@
----
-id: obs-agents-mcp-supabase
-stage: pre-verify
-blocking: true
-description: Valida que agents observability que precisam de MCP Supabase declaram tools mcp__supabase__* no frontmatter (incident-investigator, slo-engineer, burn-rate-forecaster, omm-auditor).
----
-
-# Observability agents MCP Supabase declaration gate
-
-**When to run:** pre-verify.
-
-## Check
-
-```bash
-#!/usr/bin/env bash
-# PT-BR: agents que usam MCP Supabase devem declarar tools mcp__supabase__* no frontmatter.
-# Anti-pitfall: declaração ausente faz Claude Code não autorizar tool, agent falha em runtime.
-set -e
-
-VIOLATIONS=0
-
-# PT-BR: agents que DEVEM declarar mcp__supabase__*
-declare_required() {
-  local agent="$1"
-  local required_tools="$2"   # tools separados por |
-  local file="kit/agents/$agent.md"
-
-  if [ ! -f "$file" ]; then
-    echo "FAIL: $file — agent ausente"
-    VIOLATIONS=$((VIOLATIONS + 1))
-    return
-  fi
-
-  # PT-BR: extrair frontmatter tools field (multi-line possível)
-  local in_frontmatter=0
-  local in_tools=0
-  local tools_block=""
-  while IFS= read -r line; do
-    if [ "$line" = "---" ]; then
-      if [ "$in_frontmatter" -eq 0 ]; then
-        in_frontmatter=1
-      else
-        break
-      fi
-    elif [ "$in_frontmatter" -eq 1 ]; then
-      tools_block="$tools_block $line"
-    fi
-  done < "$file"
-
-  local IFS='|'
-  for tool in $required_tools; do
-    if ! echo "$tools_block" | grep -qF "$tool"; then
-      echo "FAIL: $file — não declara '$tool' em frontmatter tools"
-      VIOLATIONS=$((VIOLATIONS + 1))
-    fi
-  done
-}
-
-# PT-BR: incident-investigator usa get_logs/execute_sql/get_advisors
-declare_required "incident-investigator" "mcp__supabase__get_logs|mcp__supabase__execute_sql|mcp__supabase__get_advisors"
-
-# PT-BR: slo-engineer usa execute_sql + apply_migration
-declare_required "slo-engineer" "mcp__supabase__execute_sql|mcp__supabase__apply_migration"
-
-# PT-BR: burn-rate-forecaster usa execute_sql
-declare_required "burn-rate-forecaster" "mcp__supabase__execute_sql"
-
-# PT-BR: omm-auditor usa execute_sql (queries SLI)
-declare_required "omm-auditor" "mcp__supabase__execute_sql"
-
-if [ "$VIOLATIONS" -eq 0 ]; then
-  echo "PASS: 4 agents observability declaram mcp__supabase__* corretamente"
-  exit 0
-else
-  echo "FAIL: $VIOLATIONS violação(ões)"
-  exit 1
-fi
-```
-
-## Why
-
-Agents observability que aplicam Core Analysis Loop ou queries SLI dependem de `mcp__supabase__*`. Sem declaração no frontmatter `tools`, Claude Code não autoriza o tool em runtime e o agent falha (precedente: anti-pitfall identificado em v1.8 com supabase-* agents).
-
-## REQ
-
-QA-02.
+---
+id: obs-agents-mcp-supabase
+stage: pre-verify
+blocking: true
+description: Valida que agents observability que precisam de MCP Supabase declaram tools mcp__supabase__* no frontmatter (incident-investigator, slo-engineer, burn-rate-forecaster, omm-auditor).
+---
+
+# Observability agents MCP Supabase declaration gate
+
+**When to run:** pre-verify.
+
+## Check
+
+```bash
+#!/usr/bin/env bash
+# PT-BR: agents que usam MCP Supabase devem declarar tools mcp__supabase__* no frontmatter.
+# Anti-pitfall: declaração ausente faz Claude Code não autorizar tool, agent falha em runtime.
+set -e
+
+VIOLATIONS=0
+
+# PT-BR: agents que DEVEM declarar mcp__supabase__*
+declare_required() {
+  local agent="$1"
+  local required_tools="$2"   # tools separados por |
+  local file="kit/agents/$agent.md"
+
+  if [ ! -f "$file" ]; then
+    echo "FAIL: $file — agent ausente"
+    VIOLATIONS=$((VIOLATIONS + 1))
+    return
+  fi
+
+  # PT-BR: extrair frontmatter tools field (multi-line possível)
+  local in_frontmatter=0
+  local in_tools=0
+  local tools_block=""
+  while IFS= read -r line; do
+    if [ "$line" = "---" ]; then
+      if [ "$in_frontmatter" -eq 0 ]; then
+        in_frontmatter=1
+      else
+        break
+      fi
+    elif [ "$in_frontmatter" -eq 1 ]; then
+      tools_block="$tools_block $line"
+    fi
+  done < "$file"
+
+  local IFS='|'
+  for tool in $required_tools; do
+    if ! echo "$tools_block" | grep -qF "$tool"; then
+      echo "FAIL: $file — não declara '$tool' em frontmatter tools"
+      VIOLATIONS=$((VIOLATIONS + 1))
+    fi
+  done
+}
+
+# PT-BR: incident-investigator usa get_logs/execute_sql/get_advisors
+declare_required "incident-investigator" "mcp__supabase__get_logs|mcp__supabase__execute_sql|mcp__supabase__get_advisors"
+
+# PT-BR: slo-engineer usa execute_sql + apply_migration
+declare_required "slo-engineer" "mcp__supabase__execute_sql|mcp__supabase__apply_migration"
+
+# PT-BR: burn-rate-forecaster usa execute_sql
+declare_required "burn-rate-forecaster" "mcp__supabase__execute_sql"
+
+# PT-BR: omm-auditor usa execute_sql (queries SLI)
+declare_required "omm-auditor" "mcp__supabase__execute_sql"
+
+if [ "$VIOLATIONS" -eq 0 ]; then
+  echo "PASS: 4 agents observability declaram mcp__supabase__* corretamente"
+  exit 0
+else
+  echo "FAIL: $VIOLATIONS violação(ões)"
+  exit 1
+fi
+```
+
+## Why
+
+Agents observability que aplicam Core Analysis Loop ou queries SLI dependem de `mcp__supabase__*`. Sem declaração no frontmatter `tools`, Claude Code não autoriza o tool em runtime e o agent falha (precedente: anti-pitfall identificado em v1.8 com supabase-* agents).
+
+## REQ
+
+QA-02.