@maestro-ai/cli 1.0.0

package/content/templates/checklist-seguranca.md

@@ -0,0 +1,180 @@
+# Checklist de Segurança: [Nome do Sistema]
+
+**Versão:** 1.0  
+**Data:** YYYY-MM-DD  
+**Responsável:** [Nome]  
+**Arquitetura Relacionada:** [Link]
+
+---
+
+## 1. Autenticação
+
+- [ ] Senhas hasheadas com algoritmo seguro (bcrypt/argon2)
+- [ ] Política de senha forte implementada (min 8 chars, complexidade)
+- [ ] Rate limiting em endpoints de login
+- [ ] Bloqueio após N tentativas falhas
+- [ ] 2FA disponível (se aplicável)
+- [ ] Tokens JWT com expiração curta (< 15 min)
+- [ ] Refresh tokens com rotação
+- [ ] Logout invalida tokens
+
+---
+
+## 2. Autorização
+
+- [ ] Modelo de autorização definido (RBAC/ABAC)
+- [ ] Verificação de permissão em cada endpoint
+- [ ] Não há exposição de dados entre usuários
+- [ ] Admin separado de user comum
+- [ ] Princípio do menor privilégio aplicado
+
+---
+
+## 3. Proteção de Dados
+
+### 3.1 Dados em Trânsito
+- [ ] HTTPS obrigatório em produção
+- [ ] TLS 1.2+ configurado
+- [ ] HSTS habilitado
+- [ ] Certificados válidos e atualizados
+
+### 3.2 Dados em Repouso
+- [ ] Dados sensíveis criptografados no banco
+- [ ] Backups criptografados
+- [ ] Chaves de criptografia rotacionadas
+
+### 3.3 Dados Sensíveis
+- [ ] PII identificada e mapeada
+- [ ] Logs não contêm dados sensíveis
+- [ ] Mascaramento em ambientes não-prod
+- [ ] LGPD/GDPR compliance (se aplicável)
+
+---
+
+## 4. OWASP Top 10
+
+### A01: Broken Access Control
+- [ ] Verificação de autorização lado servidor
+- [ ] CORS configurado corretamente
+- [ ] Tokens não expostos em URLs
+
+### A02: Cryptographic Failures
+- [ ] Algoritmos modernos (AES-256, RSA-2048+)
+- [ ] Sem secrets hardcoded
+- [ ] Gerenciamento seguro de chaves
+
+### A03: Injection
+- [ ] Queries parametrizadas (ORM/prepared statements)
+- [ ] Validação de input em todo lugar
+- [ ] Sanitização de output (XSS)
+
+### A04: Insecure Design
+- [ ] Threat modeling realizado
+- [ ] Princípios de segurança desde o design
+- [ ] Revisão de segurança em features críticas
+
+### A05: Security Misconfiguration
+- [ ] Headers de segurança (Helmet)
+- [ ] Versões atualizadas de dependências
+- [ ] Debug desabilitado em prod
+- [ ] Ports desnecessárias fechadas
+
+### A06: Vulnerable Components
+- [ ] Dependências auditadas regularmente
+- [ ] Alertas de segurança configurados (Dependabot/Snyk)
+- [ ] Processo de atualização definido
+
+### A07: Identification and Authentication Failures
+- [ ] Políticas de senha adequadas
+- [ ] Proteção contra brute force
+- [ ] Session management seguro
+
+### A08: Software and Data Integrity Failures
+- [ ] Verificação de integridade em dependências
+- [ ] CI/CD seguro
+- [ ] Assinatura de código (se aplicável)
+
+### A09: Security Logging and Monitoring
+- [ ] Logs de eventos de segurança
+- [ ] Alertas para eventos suspeitos
+- [ ] Retenção adequada de logs
+- [ ] Logs protegidos contra tampering
+
+### A10: Server-Side Request Forgery
+- [ ] URLs externas validadas
+- [ ] Whitelist de domínios permitidos
+- [ ] Metadados de cloud bloqueados
+
+---
+
+## 5. Infraestrutura
+
+- [ ] Firewall configurado
+- [ ] Grupos de segurança restritivos
+- [ ] Acesso SSH restrito (bastion/chave)
+- [ ] Secrets em vault (não em env vars plain)
+- [ ] Containers rodando como non-root
+- [ ] Imagens base atualizadas
+
+---
+
+## 6. API Security
+
+- [ ] Rate limiting implementado
+- [ ] Validação de Content-Type
+- [ ] Tamanho máximo de payload definido
+- [ ] Timeout de requisições
+- [ ] CORS restritivo
+- [ ] API keys rotacionadas
+
+---
+
+## 7. Riscos de IA (se aplicável)
+
+- [ ] Inputs de usuário não vão direto para LLM
+- [ ] Proteção contra prompt injection
+- [ ] Dados sensíveis não enviados para AI externa
+- [ ] Output de IA validado antes de uso
+- [ ] Logs de AI não contêm PII
+
+---
+
+## 8. Testes de Segurança
+
+- [ ] SAST configurado no CI (Semgrep/CodeQL)
+- [ ] DAST em staging (OWASP ZAP)
+- [ ] Dependency scanning
+- [ ] Pentest realizado (para sistemas críticos)
+
+---
+
+## 9. Resposta a Incidentes
+
+- [ ] Plano de resposta documentado
+- [ ] Contatos de emergência definidos
+- [ ] Processo de rollback testado
+- [ ] Comunicação com usuários planejada
+
+---
+
+## Resumo de Status
+
+| Categoria | Checados | Total | % |
+|---|---|---|---|
+| Autenticação | /8 | 8 | % |
+| Autorização | /5 | 5 | % |
+| Dados | /12 | 12 | % |
+| OWASP | /20 | 20 | % |
+| Infra | /7 | 7 | % |
+| API | /6 | 6 | % |
+| IA | /5 | 5 | % |
+| Testes | /4 | 4 | % |
+| **TOTAL** | | 67 | % |
+
+---
+
+## Changelog
+
+| Versão | Data | Autor | Mudanças |
+|---|---|---|---|
+| 1.0 | YYYY-MM-DD | [Nome] | Versão inicial |

package/content/templates/contexto.md

@@ -0,0 +1,120 @@
+# Contexto do Projeto
+
+> **Instruções**: Copie este template para `docs/CONTEXTO.md` no seu projeto.
+> Atualize após cada fase para manter o contexto entre sessões.
+
+---
+
+## Metadados
+
+| Campo | Valor |
+|-------|-------|
+| **Nome do Projeto** | [NOME] |
+| **Nível de Complexidade** | [ ] Simples / [ ] Médio / [ ] Complexo |
+| **Fase Atual** | [1-10] |
+| **Última Atualização** | [DATA] |
+
+---
+
+## Resumo Executivo
+
+[2-3 linhas sobre o que o sistema faz, para quem e qual problema resolve]
+
+---
+
+## Stack Tecnológica
+
+| Camada | Tecnologia | Justificativa |
+|--------|------------|---------------|
+| Frontend | | |
+| Backend | | |
+| Banco de Dados | | |
+| Infraestrutura | | |
+| Testes | | |
+
+---
+
+## Modelo de Domínio (Resumo)
+
+| Entidade | Principais Atributos | Relacionamentos |
+|----------|---------------------|-----------------|
+| | | |
+| | | |
+| | | |
+
+---
+
+## Decisões Arquiteturais (Resumo)
+
+| ID | Decisão | Escolha | Justificativa |
+|----|---------|---------|---------------|
+| ADR-001 | | | |
+| ADR-002 | | | |
+
+---
+
+## Artefatos Existentes
+
+> Marque os artefatos já criados e seus caminhos:
+
+### Fase 1: Produto
+- [ ] PRD: `docs/01-produto/PRD.md`
+
+### Fase 2: Requisitos
+- [ ] Requisitos: `docs/02-requisitos/requisitos.md`
+- [ ] Critérios de Aceite: `docs/02-requisitos/criterios-aceite.md`
+
+### Fase 3: UX
+- [ ] Design Doc: `docs/03-ux/design-doc.md`
+
+### Fase 4: Modelagem
+- [ ] Modelo de Domínio: `docs/04-modelo/modelo-dominio.md`
+
+### Fase 5: Arquitetura
+- [ ] Arquitetura: `docs/05-arquitetura/arquitetura.md`
+- [ ] ADRs: `docs/05-arquitetura/adr/`
+
+### Fase 6: Segurança
+- [ ] Checklist: `docs/06-seguranca/checklist.md`
+
+### Fase 7: Testes
+- [ ] Plano de Testes: `docs/07-testes/plano-testes.md`
+
+### Fase 8: Backlog
+- [ ] Backlog: `docs/08-backlog/backlog.md`
+
+---
+
+## Histórico de Fases
+
+| Fase | Nome | Data Conclusão | Gate Status |
+|------|------|----------------|-------------|
+| 1 | Produto | | [ ] Aprovado |
+| 2 | Requisitos | | [ ] Aprovado |
+| 3 | UX | | [ ] Aprovado |
+| 4 | Modelagem | | [ ] Aprovado |
+| 5 | Arquitetura | | [ ] Aprovado |
+| 6 | Segurança | | [ ] Aprovado |
+| 7 | Testes | | [ ] Aprovado |
+| 8 | Backlog | | [ ] Aprovado |
+
+---
+
+## Como Usar Este Arquivo
+
+### No início de cada sessão com IA:
+
+```text
+Aqui está o contexto do meu projeto:
+
+[COLE O CONTEÚDO DESTE ARQUIVO]
+
+Continuando da fase [X], preciso [DESCREVER TAREFA].
+```
+
+### Após cada fase concluída:
+
+1. Atualize a seção "Artefatos Existentes"
+2. Atualize "Histórico de Fases"
+3. Atualize "Modelo de Domínio" e "Decisões" se houver mudanças
+4. Atualize "Fase Atual" e "Última Atualização"

package/content/templates/criterios-aceite.md

@@ -0,0 +1,99 @@
+# Critérios de Aceite: [Nome do Sistema]
+
+**Versão:** 1.0  
+**Requisitos Relacionados:** [Link para requisitos.md]
+
+---
+
+## Formato
+
+Usamos Gherkin para critérios de aceite:
+
+```gherkin
+Funcionalidade: [Nome da funcionalidade]
+  Como [persona]
+  Quero [ação]
+  Para [benefício]
+
+  Cenário: [Nome do cenário]
+    Dado [contexto/pré-condição]
+    Quando [ação do usuário]
+    Então [resultado esperado]
+```
+
+---
+
+## CA001 - [Título] (RF001)
+
+### Cenário 1: Sucesso - [Descrição]
+```gherkin
+Dado que o usuário está logado
+  E está na página [X]
+Quando o usuário [ação]
+Então o sistema deve [resultado]
+  E [outro resultado se houver]
+```
+
+### Cenário 2: Erro - [Descrição]
+```gherkin
+Dado que o usuário está logado
+  E [condição de erro]
+Quando o usuário [ação]
+Então o sistema deve exibir mensagem de erro "[mensagem]"
+  E não deve [ação que não deve ocorrer]
+```
+
+### Cenário 3: Edge Case - [Descrição]
+```gherkin
+Dado [condição de borda]
+Quando [ação]
+Então [comportamento esperado]
+```
+
+---
+
+## CA002 - [Título] (RF002)
+
+### Cenário 1: [Descrição]
+```gherkin
+Dado [contexto]
+Quando [ação]
+Então [resultado]
+```
+
+---
+
+## CA003 - [Título] (RF003)
+
+### Cenário 1: [Descrição]
+```gherkin
+Dado [contexto]
+Quando [ação]
+Então [resultado]
+```
+
+---
+
+## Tabela de Dados de Teste
+
+Para cenários que precisam de múltiplas variações:
+
+### CA001 - Validação de Campos
+
+| Campo | Valor Válido | Valor Inválido | Mensagem de Erro |
+|---|---|---|---|
+| email | user@email.com | "email-invalido" | "Email inválido" |
+| senha | "Senha123!" | "123" | "Senha deve ter 8+ caracteres" |
+| nome | "João Silva" | "" | "Nome é obrigatório" |
+
+---
+
+## Checklist de Cobertura
+
+- [ ] Cenário de sucesso (happy path)
+- [ ] Validação de campos obrigatórios
+- [ ] Validação de formato de campos
+- [ ] Permissões/autorização
+- [ ] Edge cases (limites, null, vazio)
+- [ ] Concorrência (se aplicável)
+- [ ] Timeout/indisponibilidade (se integração)

package/content/templates/design-banco.md

@@ -0,0 +1,270 @@
+# Design de Banco de Dados
+
+> **Projeto**: [Nome do Projeto]  
+> **Versão**: 1.0  
+> **Data**: [YYYY-MM-DD]  
+> **Autor**: [Nome]
+
+---
+
+## 1. Escolha do Banco de Dados
+
+### 1.1 Banco Selecionado
+
+| Aspecto | Valor |
+|---------|-------|
+| **Banco** | PostgreSQL 16 |
+| **Tipo** | Relacional |
+| **Hospedagem** | [Cloud/Self-hosted] |
+
+### 1.2 Justificativa
+
+<!-- Por que este banco foi escolhido? Considere: -->
+<!-- - Requisitos de consistência (ACID) -->
+<!-- - Padrão de leitura/escrita -->
+<!-- - Necessidade de JSON/NoSQL -->
+<!-- - Escala esperada -->
+<!-- - Expertise do time -->
+
+| Critério | Peso | Score | Justificativa |
+|----------|------|-------|---------------|
+| Consistência ACID | Alto | ✅ | Transações financeiras requerem atomicidade |
+| Performance de leitura | Médio | ✅ | Índices e connection pooling |
+| JSON support | Baixo | ✅ | JSONB para dados semi-estruturados |
+| Escalabilidade | Médio | ⚠️ | Até 1M registros, suficiente para MVP |
+
+---
+
+## 2. Schema Físico
+
+### 2.1 Convenções Adotadas
+
+| Convenção | Padrão |
+|-----------|--------|
+| Nomenclatura de tabelas | snake_case, plural |
+| Nomenclatura de colunas | snake_case |
+| Chave primária | `id` (UUID v7) |
+| Timestamps | `created_at`, `updated_at` |
+| Soft delete | `deleted_at` (nullable) |
+| Foreign keys | `{tabela_singular}_id` |
+
+### 2.2 Tabelas
+
+#### `users`
+
+| Coluna | Tipo | Constraints | Descrição |
+|--------|------|-------------|-----------|
+| `id` | UUID | PK, DEFAULT uuid_generate_v7() | Identificador único |
+| `email` | VARCHAR(255) | NOT NULL, UNIQUE | Email do usuário |
+| `name` | VARCHAR(100) | NOT NULL | Nome completo |
+| `password_hash` | VARCHAR(255) | NOT NULL | Hash bcrypt da senha |
+| `role` | VARCHAR(20) | NOT NULL, DEFAULT 'user' | Papel: user, admin |
+| `created_at` | TIMESTAMPTZ | NOT NULL, DEFAULT NOW() | Data de criação |
+| `updated_at` | TIMESTAMPTZ | NOT NULL, DEFAULT NOW() | Última atualização |
+| `deleted_at` | TIMESTAMPTZ | NULL | Soft delete |
+
+<!-- Adicione mais tabelas conforme necessário -->
+
+### 2.3 DDL Completo
+
+```sql
+-- Extensões necessárias
+CREATE EXTENSION IF NOT EXISTS "uuid-ossp";
+CREATE EXTENSION IF NOT EXISTS "pg_trgm";  -- Para busca textual
+
+-- Tabela: users
+CREATE TABLE users (
+    id UUID PRIMARY KEY DEFAULT uuid_generate_v7(),
+    email VARCHAR(255) NOT NULL,
+    name VARCHAR(100) NOT NULL,
+    password_hash VARCHAR(255) NOT NULL,
+    role VARCHAR(20) NOT NULL DEFAULT 'user',
+    created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    updated_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+    deleted_at TIMESTAMPTZ NULL,
+    
+    CONSTRAINT users_email_unique UNIQUE (email),
+    CONSTRAINT users_role_check CHECK (role IN ('user', 'admin'))
+);
+
+-- Índices
+CREATE INDEX idx_users_email ON users(email) WHERE deleted_at IS NULL;
+CREATE INDEX idx_users_role ON users(role) WHERE deleted_at IS NULL;
+
+-- Trigger para updated_at
+CREATE OR REPLACE FUNCTION update_updated_at_column()
+RETURNS TRIGGER AS $$
+BEGIN
+    NEW.updated_at = NOW();
+    RETURN NEW;
+END;
+$$ language 'plpgsql';
+
+CREATE TRIGGER update_users_updated_at
+    BEFORE UPDATE ON users
+    FOR EACH ROW
+    EXECUTE FUNCTION update_updated_at_column();
+```
+
+---
+
+## 3. Diagrama ER de Implementação
+
+```mermaid
+erDiagram
+    USERS {
+        uuid id PK
+        varchar email UK
+        varchar name
+        varchar password_hash
+        varchar role
+        timestamptz created_at
+        timestamptz updated_at
+        timestamptz deleted_at
+    }
+    
+    %% Adicione relacionamentos conforme necessário
+    %% ORDERS ||--o{ ORDER_ITEMS : contains
+    %% USERS ||--o{ ORDERS : places
+```
+
+---
+
+## 4. Índices e Otimização
+
+### 4.1 Índices Planejados
+
+| Tabela | Índice | Tipo | Colunas | Justificativa |
+|--------|--------|------|---------|---------------|
+| users | idx_users_email | B-tree | email | Login por email |
+| users | idx_users_role | B-tree | role | Filtro por papel |
+
+### 4.2 Queries Críticas
+
+```sql
+-- Query: Login por email
+-- Frequency: Alta
+-- Expected time: <5ms
+EXPLAIN ANALYZE
+SELECT id, email, password_hash, role 
+FROM users 
+WHERE email = $1 AND deleted_at IS NULL;
+```
+
+### 4.3 Particionamento
+
+<!-- Se aplicável -->
+| Tabela | Estratégia | Chave | Justificativa |
+|--------|------------|-------|---------------|
+| - | - | - | Não aplicável para MVP |
+
+---
+
+## 5. Estratégia de Migrações
+
+### 5.1 Ferramenta
+
+| Aspecto | Valor |
+|---------|-------|
+| **Ferramenta** | Prisma Migrate |
+| **Diretório** | `prisma/migrations/` |
+| **Ambiente** | Via variável DATABASE_URL |
+
+### 5.2 Convenções
+
+- Migrações são **imutáveis** após merge em main
+- Nomenclatura: `YYYYMMDDHHMMSS_descricao_da_mudanca`
+- Sempre incluir script de rollback quando possível
+- Testar em staging antes de produção
+
+### 5.3 Processo de Deploy
+
+```mermaid
+graph LR
+    A[PR com migração] --> B[Review]
+    B --> C[Merge em develop]
+    C --> D[CI aplica em staging]
+    D --> E{Testes OK?}
+    E -->|Sim| F[Merge em main]
+    E -->|Não| G[Rollback + Fix]
+    F --> H[CI aplica em prod]
+```
+
+---
+
+## 6. Segurança
+
+### 6.1 Roles de Banco
+
+| Role | Permissões | Uso |
+|------|------------|-----|
+| `app_user` | SELECT, INSERT, UPDATE, DELETE nas tabelas de app | Conexão da aplicação |
+| `app_readonly` | SELECT em todas as tabelas | Relatórios, BI |
+| `app_admin` | ALL PRIVILEGES | Migrações, manutenção |
+
+### 6.2 Row-Level Security (RLS)
+
+<!-- Se multi-tenant -->
+```sql
+-- Habilitar RLS
+ALTER TABLE orders ENABLE ROW LEVEL SECURITY;
+
+-- Policy: usuários só veem próprios pedidos
+CREATE POLICY orders_isolation ON orders
+    FOR ALL
+    USING (user_id = current_setting('app.current_user_id')::uuid);
+```
+
+### 6.3 Dados Sensíveis
+
+| Tabela | Coluna | Classificação | Proteção |
+|--------|--------|---------------|----------|
+| users | email | PII | Encryption at rest |
+| users | password_hash | Credencial | bcrypt (no app) |
+
+---
+
+## 7. Decisões Técnicas (ADRs)
+
+### ADR-DB-001: UUID v7 como Primary Key
+
+**Status**: Aceito
+
+**Contexto**: Precisamos de IDs únicos, escaláveis e sortáveis.
+
+**Decisão**: Usar UUID v7 (time-ordered) em vez de SERIAL/BIGSERIAL.
+
+**Consequências**:
+- ✅ IDs geráveis no app (sem round-trip ao banco)
+- ✅ Ordenação temporal natural
+- ✅ Merge-friendly para replicação
+- ⚠️ 16 bytes vs 8 de BIGSERIAL
+- ⚠️ Requer extensão ou função custom
+
+---
+
+### ADR-DB-002: Soft Delete
+
+**Status**: Aceito
+
+**Contexto**: Requisitos de auditoria e recuperação de dados.
+
+**Decisão**: Usar `deleted_at` timestamp em vez de DELETE físico.
+
+**Consequências**:
+- ✅ Recuperação de dados deletados
+- ✅ Auditoria simplificada
+- ⚠️ Todos os queries precisam filtrar `WHERE deleted_at IS NULL`
+- ⚠️ Índices parciais necessários
+
+---
+
+## Checklist de Validação
+
+- [ ] Schema físico cobre todas as entidades do modelo de domínio
+- [ ] Tipos de dados apropriados para cada campo
+- [ ] Índices planejados para queries críticas
+- [ ] Estratégia de migrações documentada
+- [ ] Roles e permissões definidos
+- [ ] Dados sensíveis identificados com proteção
+- [ ] Decisões técnicas documentadas como ADRs