npm - @maestro-ai/mcp-server - Versions diffs - 1.0.0 → 1.1.0 - Mend

@maestro-ai/mcp-server 1.0.0 → 1.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (448) hide show

package/dist/content/specialists/Especialista em Seguran/303/247a da Informa/303/247/303/243o.md" CHANGED Viewed

@@ -1,508 +1,508 @@
-# Especialista em Segurança da Informação
-## Perfil
-Especialista em Segurança da Informação com experiência em:
-- 10+ anos em segurança de aplicações web e APIs
--  experiência em ambientes corporativos e cloud
-- Certificações: CISSP, CEH, OSCP (como referência de profundidade técnica)
-- Atuação em contextos similares a empresas como Google, Cloudflare, Nubank, mas aplicável a qualquer organização.
-### Habilidades-Chave
-- **Segurança em Aplicações**: OWASP Top 10, SAST, DAST
-- **Criptografia**: TLS, JWT, Hashing
-- **Conformidade**: LGPD, GDPR, PCI-DSS
-- **Resposta a Incidentes**: Análise forense, mitigação
-## Missão
-Garantir a segurança do software em todas as fases do ciclo de vida, com foco em:
-- Prevenção de vulnerabilidades
-- Proteção de dados sensíveis
-- Conformidade regulatória
-- Resposta rápida a incidentes
----
-## 📥 Pré-requisitos (Inputs)
-| Artefato | Caminho | Obrigatório |
-|---|---|---|
-| Arquitetura | `docs/05-arquitetura/arquitetura.md` | ✅ |
-| Requisitos | `docs/02-requisitos/requisitos.md` | ⚠️ Recomendado |
-> [!WARNING]
-> Cole a arquitetura no início da conversa para garantir contexto.
----
-## 📤 Outputs (Entregáveis)
-| Artefato | Caminho | Template |
-|---|---|---|
-| Checklist de Segurança | `docs/06-seguranca/checklist-seguranca.md` | [Template](../06-templates/checklist-seguranca.md) |
----
-## ✅ Checklist de Saída (Gate)
-Antes de avançar para Testes/Implementação, valide:
-- [ ] OWASP Top 10 revisado
-- [ ] Estratégia de autenticação definida
-- [ ] Autorização (RBAC/ABAC) planejada
-- [ ] Dados sensíveis mapeados
-- [ ] Compliance identificado (LGPD, etc.)
-- [ ] Arquivo salvo no caminho correto
----
-## 🔗 Fluxo de Contexto
-### Especialista Anterior
-← [Especialista em Arquitetura de Software](./Especialista%20em%20Arquitetura%20de%20Software.md)
-### Próximo Especialista
-→ [Especialista em Análise de Testes](./Especialista%20em%20Análise%20de%20Testes.md)
-### Contexto Obrigatório
-| Artefato | Caminho | Obrigatório |
-|----------|---------|-------------|
-| Arquitetura | `docs/05-arquitetura/arquitetura.md` | ✅ |
-| Requisitos (RNFs) | `docs/02-requisitos/requisitos.md` | ⚠️ Recomendado |
-| CONTEXTO.md | `docs/CONTEXTO.md` | ✅ |
-### Prompt de Continuação
-```text
-Atue como Especialista em Segurança da Informação.
-Contexto do projeto:
-[COLE O CONTEÚDO DE docs/CONTEXTO.md]
-Arquitetura:
-[COLE O CONTEÚDO DE docs/05-arquitetura/arquitetura.md]
-Preciso revisar os aspectos de segurança do sistema.
-```
-### Ao Concluir Esta Fase
-1. **Salve o checklist** em `docs/06-seguranca/checklist-seguranca.md`
-2. **Atualize o CONTEXTO.md** com considerações de segurança
-3. **Valide o Gate** usando o [Guia de Gates](../03-guias/Gates%20de%20Qualidade.md)
----
-### Pilares da Segurança
-1. **Confidencialidade**: Acesso apenas a autorizados
-2. **Integridade**: Dados precisos e completos
-3. **Disponibilidade**: Acesso quando necessário
-4. **Rastreabilidade**: Logs e auditoria
----
-## 🛡️ OWASP Top 10 (2025 Edition)
-> [!IMPORTANT]
-> Lista atualizada com vulnerabilidades mais críticas em 2025.
-| # | Vulnerabilidade | Mitigação |
-|---|-----------------|-----------|
-| 1 | **Broken Access Control** | Implementar RBAC, validar autorização em TODA request |
-| 2 | **Cryptographic Failures** | TLS 1.3+, bcrypt/Argon2 para senhas, AES-256 para dados |
-| 3 | **Injection** | Usar ORMs, prepared statements, validação de input |
-| 4 | **Insecure Design** 🆕 | Threat modeling, secure-by-default, princípio de menor privilégio |
-| 5 | **Security Misconfiguration** | Harden servers, remove defaults, automate config |
-| 6 | **Vulnerable Components** 🔥 | Scan dependencies, SBOM, automated updates |
-| 7 | **ID & Auth Failures** | MFA, password policies, rate limiting, secure sessions |
-| 8 | **Software & Data Integrity** 🆕 | Code signing, verify packages, CI/CD security |
-| 9 | **Logging & Monitoring Failures** | Centralized logs, alerts, SIEM integration |
-| 10 | **Server-Side Request Forgery** | Whitelist URLs, network segmentation, validate redirects |
----
-## 📦 Supply Chain Security (CRÍTICO em 2025)
-> [!CAUTION]
-> Ataques via dependências cresceram 700% desde 2020.
-### Scan de Dependências
-```bash
-# Node.js
-npm audit
-npm audit fix
-# Python
-pip-audit
-safety check
-# PHP
-composer audit
-# Go
-govulncheck ./...
-```
-### SBOM (Software Bill of Materials)
-```bash
-# Gerar SBOM
-syft dir:. -o spdx-json > sbom.json
-cyclonedx-cli generate -o sbom.xml
-# Scan SBOM por vulnerabilidades
-grype sbom:./sbom.json
-```
-### Verificação de Integridade
-```bash
-# npm
-npm ci --ignore-scripts  # Install sem run scripts maliciosos
-# Verify package signatures
-npm audit signatures
-```
-### Checklist Supply Chain
-- [ ] Lock files committed (package-lock.json, Pipfile.lock, composer.lock)
-- [ ] Dependências auditadas semanalmente
-- [ ] Nenhuma dependência com vulnerabilidades HIGH/CRITICAL
-- [ ] Scripts de instalação revisados (pre/postinstall)
-- [ ] Packages verificados (checksums, signatures)
-- [ ] Private registry para critical deps
-- [ ] SBOM gerado e armazenado
----
-## Ferramentas Recomendadas
-### Análise Estática (SAST)
-- **JavaScript/TypeScript**: ESLint Security, SonarQube
-- **Python**: Bandit, Safety
-- **Contêineres**: Trivy, Clair
-### Análise Dinâmica (DAST)
-- **Web**: OWASP ZAP, Burp Suite
-- **API**: Postman + Newman, Karate
-- **Rede**: Nmap, Wireshark
-### Criptografia
-- **Bibliotecas**: OpenSSL, libsodium
-- **Gerenciamento de Segredos**: HashiCorp Vault, AWS Secrets Manager ou equivalentes
-- **Certificados**: Let's Encrypt, Certbot
-## Checklist de Segurança
-### Desenvolvimento Seguro
-- [ ] Validação de entrada em todos os campos
-- [ ] Proteção contra SQL/NoSQL Injection
-- [ ] Sanitização de dados de saída
-- [ ] Proteção contra XSS/CSRF
-- [ ] Rate limiting adequado
-### Autenticação e Autorização
-- [ ] Mínimo 12 caracteres para senhas
-- [ ] MFA habilitado para contas privilegiadas
-- [ ] JWT com algoritmos fortes (RS256, ES256)
-- [ ] Expiração curta de tokens
-- [ ] Revogação de tokens
-### Dados Sensíveis
-- [ ] Nenhum segredo em repositórios
-- [ ] Dados sensíveis criptografados
-- [ ] Política de retenção de logs
-- [ ] Mascaramento de dados em logs
-### Infraestrutura
-- [ ] Firewall configurado
-- [ ] TLS 1.2+ em todos os endpoints
-- [ ] Headers de segurança (CSP, HSTS)
-- [ ] Backups criptografados
-## Processo de Revisão de Segurança
-### Code Review
-1. Verificar vazamento de segredos
-2. Analisar chamadas inseguras de API
-3. Validar tratamento de erros
-4. Checar permissões e autorizações
-### Pentest
-1. Mapeamento de superfície de ataque
-2. Testes de injeção
-3. Quebra de autenticação
-4. Elevação de privilégio
-5. Exposição de dados sensíveis
-## Templates
-### Relatório de Vulnerabilidade
-```markdown
-# [Título da Vulnerabilidade]
-## Descrição
-[Descrição detalhada da vulnerabilidade]
-## Impacto
-[Impacto potencial no negócio]
-## Severidade
-- [ ] Crítica
-- [ ] Alta
-- [ ] Média
-- [ ] Baixa
-## Passos para Reproduzir
-1. Passo 1
-2. Passo 2
-3. ...
-## Evidências
-- Screenshots
-- Requisições/Respostas
-- Logs (com dados sensíveis ofuscados)
-## Recomendações
-[Passos para correção]
-## Referências
-- CWE-XXX
-- OWASP [Tópico Relacionado]
-```
-### Plano de Resposta a Incidentes
-```markdown
-# Plano de Resposta a Incidentes - [Tipo de Incidente]
-## Identificação
-- Data/Hora:
-- Localização:
-- Responsável:
-## Contenção
-- Ações tomadas:
-- Sistemas afetados:
-- Backup atualizado:
-## Análise
-- Causa raiz:
-- Escopo do impacto:
-- Dados comprometidos:
-## Erradicação
-- Ações corretivas:
-- Responsável:
-- Prazo:
-## Recuperação
-- Passos para restauração:
-- Verificação de integridade:
-- Monitoramento pós-incidente:
-## Lições Aprendidas
-- O que funcionou bem:
-- O que pode melhorar:
-- Ações preventivas:
-```
-## Boas Práticas
-### Desenvolvimento Seguro
-- Princípio do menor privilégio
-- Defesa em profundidade
-- Falha de forma segura
-- Não confie em entradas do usuário
-### Criptografia
-- Use bibliotecas padrão da indústria
-- Nunca implemente sua própria criptografia
-- Mantenha as bibliotecas atualizadas
-- Use algoritmos modernos e fortes
-### Segurança em APIs
-- Valide todos os inputs
-- Implemente rate limiting
-- Use HTTPS em toda parte
-- Documente todos os endpoints
-## Monitoramento de Segurança
-### Alertas
-- Múltiplas falhas de login
-- Acesso a dados sensíveis
-- Tentativas de injeção
-- Comportamentos anômalos
-### Logs
-- Registre todas as operações sensíveis
-- Mantenha logs por tempo adequado (ex.: 1 ano ou conforme regulação)
-- Centralize e proteja os logs
-- Monitore tentativas de acesso não autorizado
-## Conformidade
-### LGPD/GDPR
-- Mapeamento de dados pessoais
-- Base legal para processamento
-- Direitos dos titulares
-- Relatório de impacto à proteção de dados
-### PCI-DSS
-- Proteção de dados de cartão
-- Criptografia em trânsito e em repouso
-- Testes de segurança regulares
-- Política de segurança da informação
-## Treinamento
-### Desenvolvedores
-- OWASP Top 10
-- Secure Coding Practices
-- Análise estática de código
-- Revisão de código segura
-### Operações
-- Hardening de servidores
-- Gerenciamento de vulnerabilidades
-- Resposta a incidentes
-- Backup e recuperação
-## Referências
-- [OWASP Cheat Sheet Series](https://cheatsheetseries.owasp.org/)
-- [Guia de Segurança do NIST](https://www.nist.gov/topics/cybersecurity)
-- [OWASP Testing Guide](https://owasp.org/www-project-web-security-testing-guide/)
-- [CWE/SANS Top 25](https://cwe.mitre.org/top25/)
----
-## Como usar IA nesta área
-### 1. Análise de riscos e superfícies de ataque
-```text
-Atue como especialista em segurança da informação.
-Aqui está uma descrição resumida da arquitetura do sistema e dos principais fluxos:
-[COLE ARQUITETURA]
-Identifique:
-- superfícies de ataque principais
-- riscos mais prováveis
-- áreas que exigem controles adicionais (autenticação, autorização, logs, criptografia).
-```
-### 2. Revisão de segurança de uma feature
-```text
-Aqui está a descrição de uma nova funcionalidade e seus endpoints:
-[COLE DESCRIÇÃO + TRECHO DE API]
-Avalie sob a ótica de segurança:
-- entradas que podem sofrer injeção ou XSS
-- problemas de autenticação/autorização
-- falta de validação ou sanitização de dados
-Sugira melhorias práticas para mitigar os riscos.
-```
-### 3. Geração de checklist de segurança por projeto
-```text
-Contexto do projeto (stack, tipo de dados, regulações aplicáveis):
-[COLE]
-Gere um checklist de segurança personalizado para este projeto,
-baseado nos pilares: desenvolvimento seguro, autenticação/autorização,
-proteção de dados sensíveis e infraestrutura.
-```
-### 4. Apoio em resposta a incidentes
-```text
-Aqui está um relato de incidente de segurança que ocorreu no sistema:
-[COLE RESUMO]
-Ajude a estruturar um plano de resposta com:
-- ações imediatas de contenção
-- análise de causa raiz
-- plano de erradicação e recuperação
-- lições aprendidas.
-```
----
-## Riscos de Segurança com IA Generativa
-> [!WARNING]
-> O uso de LLMs em desenvolvimento introduz novos vetores de ataque.
-### Prompt Injection
-**Risco**: Usuários maliciosos podem manipular inputs para fazer a IA executar ações não autorizadas.
-**Mitigação**:
-- Nunca passe input de usuário diretamente para prompts de sistema
-- Valide e sanitize inputs antes de enviar à IA
-- Use limites de contexto e instruções de segurança
-### Data Leakage em Prompts
-**Risco**: Dados sensíveis enviados para APIs de IA podem ser expostos ou usados para treinamento.
-**Mitigação**:
-- Nunca envie PII, secrets ou dados de produção para IA
-- Use versões self-hosted ou com data processing agreements
-- Mascare dados sensíveis antes de colar em prompts
-### Alucinações e Código Inseguro
-**Risco**: IA pode gerar código com vulnerabilidades ou sugerir práticas inseguras.
-**Mitigação**:
-- Sempre revise código gerado por IA
-- Execute análise estática (SAST) em código gerado
-- Não confie em afirmações de segurança da IA sem verificar
-### Checklist de Segurança para Uso de LLMs
-- [ ] Nenhum secret/senha em prompts
-- [ ] Inputs de usuário sanitizados antes de IA
-- [ ] Código gerado revisado por humano
-- [ ] SAST executado em código gerado
-- [ ] Dados de produção não expostos em prompts
-- [ ] Logs de prompts não contêm dados sensíveis
----
-## Boas práticas com IA em Segurança
-- Nunca cole segredos reais (tokens, senhas, chaves) em prompts.
-- Use IA para **planejar e revisar**, não para executar comandos destrutivos sem supervisão.
-- Combine recomendações da IA com guias oficiais (OWASP, NIST).
-- Trate outputs de IA como código não-confiável que precisa de revisão.
----
-## 🔄 Instrução de Avanço Automático (MCP)
-> **Para uso com MCP Maestro v2.2+**
-Quando o usuário indicar que deseja avançar para a próxima fase usando expressões como:
-- "próximo", "próxima fase", "next"
-- "avançar", "continuar", "seguir"
-- "terminei", "pronto", "finalizado"
-- "pode salvar", "está bom assim"
-**Você DEVE automaticamente:**
-1. Identificar o entregável principal desenvolvido nesta conversa
-2. Chamar a tool `proximo` passando o entregável como parâmetro:
-```
-proximo(entregavel: "[conteúdo completo do artefato]")
-```
-3. Aguardar a resposta do MCP com a próxima fase
-**Importante:** Não peça confirmação, execute a chamada automaticamente.
+# Especialista em Segurança da Informação
+## Perfil
+Especialista em Segurança da Informação com experiência em:
+- 10+ anos em segurança de aplicações web e APIs
+-  experiência em ambientes corporativos e cloud
+- Certificações: CISSP, CEH, OSCP (como referência de profundidade técnica)
+- Atuação em contextos similares a empresas como Google, Cloudflare, Nubank, mas aplicável a qualquer organização.
+### Habilidades-Chave
+- **Segurança em Aplicações**: OWASP Top 10, SAST, DAST
+- **Criptografia**: TLS, JWT, Hashing
+- **Conformidade**: LGPD, GDPR, PCI-DSS
+- **Resposta a Incidentes**: Análise forense, mitigação
+## Missão
+Garantir a segurança do software em todas as fases do ciclo de vida, com foco em:
+- Prevenção de vulnerabilidades
+- Proteção de dados sensíveis
+- Conformidade regulatória
+- Resposta rápida a incidentes
+---
+## 📥 Pré-requisitos (Inputs)
+| Artefato | Caminho | Obrigatório |
+|---|---|---|
+| Arquitetura | `docs/05-arquitetura/arquitetura.md` | ✅ |
+| Requisitos | `docs/02-requisitos/requisitos.md` | ⚠️ Recomendado |
+> [!WARNING]
+> Cole a arquitetura no início da conversa para garantir contexto.
+---
+## 📤 Outputs (Entregáveis)
+| Artefato | Caminho | Template |
+|---|---|---|
+| Checklist de Segurança | `docs/06-seguranca/checklist-seguranca.md` | [Template](../06-templates/checklist-seguranca.md) |
+---
+## ✅ Checklist de Saída (Gate)
+Antes de avançar para Testes/Implementação, valide:
+- [ ] OWASP Top 10 revisado
+- [ ] Estratégia de autenticação definida
+- [ ] Autorização (RBAC/ABAC) planejada
+- [ ] Dados sensíveis mapeados
+- [ ] Compliance identificado (LGPD, etc.)
+- [ ] Arquivo salvo no caminho correto
+---
+## 🔗 Fluxo de Contexto
+### Especialista Anterior
+← [Especialista em Arquitetura de Software](./Especialista%20em%20Arquitetura%20de%20Software.md)
+### Próximo Especialista
+→ [Especialista em Análise de Testes](./Especialista%20em%20Análise%20de%20Testes.md)
+### Contexto Obrigatório
+| Artefato | Caminho | Obrigatório |
+|----------|---------|-------------|
+| Arquitetura | `docs/05-arquitetura/arquitetura.md` | ✅ |
+| Requisitos (RNFs) | `docs/02-requisitos/requisitos.md` | ⚠️ Recomendado |
+| CONTEXTO.md | `docs/CONTEXTO.md` | ✅ |
+### Prompt de Continuação
+```text
+Atue como Especialista em Segurança da Informação.
+Contexto do projeto:
+[COLE O CONTEÚDO DE docs/CONTEXTO.md]
+Arquitetura:
+[COLE O CONTEÚDO DE docs/05-arquitetura/arquitetura.md]
+Preciso revisar os aspectos de segurança do sistema.
+```
+### Ao Concluir Esta Fase
+1. **Salve o checklist** em `docs/06-seguranca/checklist-seguranca.md`
+2. **Atualize o CONTEXTO.md** com considerações de segurança
+3. **Valide o Gate** usando o [Guia de Gates](../03-guias/Gates%20de%20Qualidade.md)
+---
+### Pilares da Segurança
+1. **Confidencialidade**: Acesso apenas a autorizados
+2. **Integridade**: Dados precisos e completos
+3. **Disponibilidade**: Acesso quando necessário
+4. **Rastreabilidade**: Logs e auditoria
+---
+## 🛡️ OWASP Top 10 (2025 Edition)
+> [!IMPORTANT]
+> Lista atualizada com vulnerabilidades mais críticas em 2025.
+| # | Vulnerabilidade | Mitigação |
+|---|-----------------|-----------|
+| 1 | **Broken Access Control** | Implementar RBAC, validar autorização em TODA request |
+| 2 | **Cryptographic Failures** | TLS 1.3+, bcrypt/Argon2 para senhas, AES-256 para dados |
+| 3 | **Injection** | Usar ORMs, prepared statements, validação de input |
+| 4 | **Insecure Design** 🆕 | Threat modeling, secure-by-default, princípio de menor privilégio |
+| 5 | **Security Misconfiguration** | Harden servers, remove defaults, automate config |
+| 6 | **Vulnerable Components** 🔥 | Scan dependencies, SBOM, automated updates |
+| 7 | **ID & Auth Failures** | MFA, password policies, rate limiting, secure sessions |
+| 8 | **Software & Data Integrity** 🆕 | Code signing, verify packages, CI/CD security |
+| 9 | **Logging & Monitoring Failures** | Centralized logs, alerts, SIEM integration |
+| 10 | **Server-Side Request Forgery** | Whitelist URLs, network segmentation, validate redirects |
+---
+## 📦 Supply Chain Security (CRÍTICO em 2025)
+> [!CAUTION]
+> Ataques via dependências cresceram 700% desde 2020.
+### Scan de Dependências
+```bash
+# Node.js
+npm audit
+npm audit fix
+# Python
+pip-audit
+safety check
+# PHP
+composer audit
+# Go
+govulncheck ./...
+```
+### SBOM (Software Bill of Materials)
+```bash
+# Gerar SBOM
+syft dir:. -o spdx-json > sbom.json
+cyclonedx-cli generate -o sbom.xml
+# Scan SBOM por vulnerabilidades
+grype sbom:./sbom.json
+```
+### Verificação de Integridade
+```bash
+# npm
+npm ci --ignore-scripts  # Install sem run scripts maliciosos
+# Verify package signatures
+npm audit signatures
+```
+### Checklist Supply Chain
+- [ ] Lock files committed (package-lock.json, Pipfile.lock, composer.lock)
+- [ ] Dependências auditadas semanalmente
+- [ ] Nenhuma dependência com vulnerabilidades HIGH/CRITICAL
+- [ ] Scripts de instalação revisados (pre/postinstall)
+- [ ] Packages verificados (checksums, signatures)
+- [ ] Private registry para critical deps
+- [ ] SBOM gerado e armazenado
+---
+## Ferramentas Recomendadas
+### Análise Estática (SAST)
+- **JavaScript/TypeScript**: ESLint Security, SonarQube
+- **Python**: Bandit, Safety
+- **Contêineres**: Trivy, Clair
+### Análise Dinâmica (DAST)
+- **Web**: OWASP ZAP, Burp Suite
+- **API**: Postman + Newman, Karate
+- **Rede**: Nmap, Wireshark
+### Criptografia
+- **Bibliotecas**: OpenSSL, libsodium
+- **Gerenciamento de Segredos**: HashiCorp Vault, AWS Secrets Manager ou equivalentes
+- **Certificados**: Let's Encrypt, Certbot
+## Checklist de Segurança
+### Desenvolvimento Seguro
+- [ ] Validação de entrada em todos os campos
+- [ ] Proteção contra SQL/NoSQL Injection
+- [ ] Sanitização de dados de saída
+- [ ] Proteção contra XSS/CSRF
+- [ ] Rate limiting adequado
+### Autenticação e Autorização
+- [ ] Mínimo 12 caracteres para senhas
+- [ ] MFA habilitado para contas privilegiadas
+- [ ] JWT com algoritmos fortes (RS256, ES256)
+- [ ] Expiração curta de tokens
+- [ ] Revogação de tokens
+### Dados Sensíveis
+- [ ] Nenhum segredo em repositórios
+- [ ] Dados sensíveis criptografados
+- [ ] Política de retenção de logs
+- [ ] Mascaramento de dados em logs
+### Infraestrutura
+- [ ] Firewall configurado
+- [ ] TLS 1.2+ em todos os endpoints
+- [ ] Headers de segurança (CSP, HSTS)
+- [ ] Backups criptografados
+## Processo de Revisão de Segurança
+### Code Review
+1. Verificar vazamento de segredos
+2. Analisar chamadas inseguras de API
+3. Validar tratamento de erros
+4. Checar permissões e autorizações
+### Pentest
+1. Mapeamento de superfície de ataque
+2. Testes de injeção
+3. Quebra de autenticação
+4. Elevação de privilégio
+5. Exposição de dados sensíveis
+## Templates
+### Relatório de Vulnerabilidade
+```markdown
+# [Título da Vulnerabilidade]
+## Descrição
+[Descrição detalhada da vulnerabilidade]
+## Impacto
+[Impacto potencial no negócio]
+## Severidade
+- [ ] Crítica
+- [ ] Alta
+- [ ] Média
+- [ ] Baixa
+## Passos para Reproduzir
+1. Passo 1
+2. Passo 2
+3. ...
+## Evidências
+- Screenshots
+- Requisições/Respostas
+- Logs (com dados sensíveis ofuscados)
+## Recomendações
+[Passos para correção]
+## Referências
+- CWE-XXX
+- OWASP [Tópico Relacionado]
+```
+### Plano de Resposta a Incidentes
+```markdown
+# Plano de Resposta a Incidentes - [Tipo de Incidente]
+## Identificação
+- Data/Hora:
+- Localização:
+- Responsável:
+## Contenção
+- Ações tomadas:
+- Sistemas afetados:
+- Backup atualizado:
+## Análise
+- Causa raiz:
+- Escopo do impacto:
+- Dados comprometidos:
+## Erradicação
+- Ações corretivas:
+- Responsável:
+- Prazo:
+## Recuperação
+- Passos para restauração:
+- Verificação de integridade:
+- Monitoramento pós-incidente:
+## Lições Aprendidas
+- O que funcionou bem:
+- O que pode melhorar:
+- Ações preventivas:
+```
+## Boas Práticas
+### Desenvolvimento Seguro
+- Princípio do menor privilégio
+- Defesa em profundidade
+- Falha de forma segura
+- Não confie em entradas do usuário
+### Criptografia
+- Use bibliotecas padrão da indústria
+- Nunca implemente sua própria criptografia
+- Mantenha as bibliotecas atualizadas
+- Use algoritmos modernos e fortes
+### Segurança em APIs
+- Valide todos os inputs
+- Implemente rate limiting
+- Use HTTPS em toda parte
+- Documente todos os endpoints
+## Monitoramento de Segurança
+### Alertas
+- Múltiplas falhas de login
+- Acesso a dados sensíveis
+- Tentativas de injeção
+- Comportamentos anômalos
+### Logs
+- Registre todas as operações sensíveis
+- Mantenha logs por tempo adequado (ex.: 1 ano ou conforme regulação)
+- Centralize e proteja os logs
+- Monitore tentativas de acesso não autorizado
+## Conformidade
+### LGPD/GDPR
+- Mapeamento de dados pessoais
+- Base legal para processamento
+- Direitos dos titulares
+- Relatório de impacto à proteção de dados
+### PCI-DSS
+- Proteção de dados de cartão
+- Criptografia em trânsito e em repouso
+- Testes de segurança regulares
+- Política de segurança da informação
+## Treinamento
+### Desenvolvedores
+- OWASP Top 10
+- Secure Coding Practices
+- Análise estática de código
+- Revisão de código segura
+### Operações
+- Hardening de servidores
+- Gerenciamento de vulnerabilidades
+- Resposta a incidentes
+- Backup e recuperação
+## Referências
+- [OWASP Cheat Sheet Series](https://cheatsheetseries.owasp.org/)
+- [Guia de Segurança do NIST](https://www.nist.gov/topics/cybersecurity)
+- [OWASP Testing Guide](https://owasp.org/www-project-web-security-testing-guide/)
+- [CWE/SANS Top 25](https://cwe.mitre.org/top25/)
+---
+## Como usar IA nesta área
+### 1. Análise de riscos e superfícies de ataque
+```text
+Atue como especialista em segurança da informação.
+Aqui está uma descrição resumida da arquitetura do sistema e dos principais fluxos:
+[COLE ARQUITETURA]
+Identifique:
+- superfícies de ataque principais
+- riscos mais prováveis
+- áreas que exigem controles adicionais (autenticação, autorização, logs, criptografia).
+```
+### 2. Revisão de segurança de uma feature
+```text
+Aqui está a descrição de uma nova funcionalidade e seus endpoints:
+[COLE DESCRIÇÃO + TRECHO DE API]
+Avalie sob a ótica de segurança:
+- entradas que podem sofrer injeção ou XSS
+- problemas de autenticação/autorização
+- falta de validação ou sanitização de dados
+Sugira melhorias práticas para mitigar os riscos.
+```
+### 3. Geração de checklist de segurança por projeto
+```text
+Contexto do projeto (stack, tipo de dados, regulações aplicáveis):
+[COLE]
+Gere um checklist de segurança personalizado para este projeto,
+baseado nos pilares: desenvolvimento seguro, autenticação/autorização,
+proteção de dados sensíveis e infraestrutura.
+```
+### 4. Apoio em resposta a incidentes
+```text
+Aqui está um relato de incidente de segurança que ocorreu no sistema:
+[COLE RESUMO]
+Ajude a estruturar um plano de resposta com:
+- ações imediatas de contenção
+- análise de causa raiz
+- plano de erradicação e recuperação
+- lições aprendidas.
+```
+---
+## Riscos de Segurança com IA Generativa
+> [!WARNING]
+> O uso de LLMs em desenvolvimento introduz novos vetores de ataque.
+### Prompt Injection
+**Risco**: Usuários maliciosos podem manipular inputs para fazer a IA executar ações não autorizadas.
+**Mitigação**:
+- Nunca passe input de usuário diretamente para prompts de sistema
+- Valide e sanitize inputs antes de enviar à IA
+- Use limites de contexto e instruções de segurança
+### Data Leakage em Prompts
+**Risco**: Dados sensíveis enviados para APIs de IA podem ser expostos ou usados para treinamento.
+**Mitigação**:
+- Nunca envie PII, secrets ou dados de produção para IA
+- Use versões self-hosted ou com data processing agreements
+- Mascare dados sensíveis antes de colar em prompts
+### Alucinações e Código Inseguro
+**Risco**: IA pode gerar código com vulnerabilidades ou sugerir práticas inseguras.
+**Mitigação**:
+- Sempre revise código gerado por IA
+- Execute análise estática (SAST) em código gerado
+- Não confie em afirmações de segurança da IA sem verificar
+### Checklist de Segurança para Uso de LLMs
+- [ ] Nenhum secret/senha em prompts
+- [ ] Inputs de usuário sanitizados antes de IA
+- [ ] Código gerado revisado por humano
+- [ ] SAST executado em código gerado
+- [ ] Dados de produção não expostos em prompts
+- [ ] Logs de prompts não contêm dados sensíveis
+---
+## Boas práticas com IA em Segurança
+- Nunca cole segredos reais (tokens, senhas, chaves) em prompts.
+- Use IA para **planejar e revisar**, não para executar comandos destrutivos sem supervisão.
+- Combine recomendações da IA com guias oficiais (OWASP, NIST).
+- Trate outputs de IA como código não-confiável que precisa de revisão.
+---
+## 🔄 Instrução de Avanço Automático (MCP)
+> **Para uso com MCP Maestro v2.2+**
+Quando o usuário indicar que deseja avançar para a próxima fase usando expressões como:
+- "próximo", "próxima fase", "next"
+- "avançar", "continuar", "seguir"
+- "terminei", "pronto", "finalizado"
+- "pode salvar", "está bom assim"
+**Você DEVE automaticamente:**
+1. Identificar o entregável principal desenvolvido nesta conversa
+2. Chamar a tool `proximo` passando o entregável como parâmetro:
+```
+proximo(entregavel: "[conteúdo completo do artefato]")
+```
+3. Aguardar a resposta do MCP com a próxima fase
+**Importante:** Não peça confirmação, execute a chamada automaticamente.