npm - @maestro-ai/mcp-server - Versions diffs - 1.0.0 → 1.1.0 - Mend

@maestro-ai/mcp-server 1.0.0 → 1.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (448) hide show

package/dist/content/templates/checklist-seguranca.md CHANGED Viewed

@@ -1,180 +1,180 @@
-# Checklist de Segurança: [Nome do Sistema]
-**Versão:** 1.0
-**Data:** YYYY-MM-DD
-**Responsável:** [Nome]
-**Arquitetura Relacionada:** [Link]
----
-## 1. Autenticação
-- [ ] Senhas hasheadas com algoritmo seguro (bcrypt/argon2)
-- [ ] Política de senha forte implementada (min 8 chars, complexidade)
-- [ ] Rate limiting em endpoints de login
-- [ ] Bloqueio após N tentativas falhas
-- [ ] 2FA disponível (se aplicável)
-- [ ] Tokens JWT com expiração curta (< 15 min)
-- [ ] Refresh tokens com rotação
-- [ ] Logout invalida tokens
----
-## 2. Autorização
-- [ ] Modelo de autorização definido (RBAC/ABAC)
-- [ ] Verificação de permissão em cada endpoint
-- [ ] Não há exposição de dados entre usuários
-- [ ] Admin separado de user comum
-- [ ] Princípio do menor privilégio aplicado
----
-## 3. Proteção de Dados
-### 3.1 Dados em Trânsito
-- [ ] HTTPS obrigatório em produção
-- [ ] TLS 1.2+ configurado
-- [ ] HSTS habilitado
-- [ ] Certificados válidos e atualizados
-### 3.2 Dados em Repouso
-- [ ] Dados sensíveis criptografados no banco
-- [ ] Backups criptografados
-- [ ] Chaves de criptografia rotacionadas
-### 3.3 Dados Sensíveis
-- [ ] PII identificada e mapeada
-- [ ] Logs não contêm dados sensíveis
-- [ ] Mascaramento em ambientes não-prod
-- [ ] LGPD/GDPR compliance (se aplicável)
----
-## 4. OWASP Top 10
-### A01: Broken Access Control
-- [ ] Verificação de autorização lado servidor
-- [ ] CORS configurado corretamente
-- [ ] Tokens não expostos em URLs
-### A02: Cryptographic Failures
-- [ ] Algoritmos modernos (AES-256, RSA-2048+)
-- [ ] Sem secrets hardcoded
-- [ ] Gerenciamento seguro de chaves
-### A03: Injection
-- [ ] Queries parametrizadas (ORM/prepared statements)
-- [ ] Validação de input em todo lugar
-- [ ] Sanitização de output (XSS)
-### A04: Insecure Design
-- [ ] Threat modeling realizado
-- [ ] Princípios de segurança desde o design
-- [ ] Revisão de segurança em features críticas
-### A05: Security Misconfiguration
-- [ ] Headers de segurança (Helmet)
-- [ ] Versões atualizadas de dependências
-- [ ] Debug desabilitado em prod
-- [ ] Ports desnecessárias fechadas
-### A06: Vulnerable Components
-- [ ] Dependências auditadas regularmente
-- [ ] Alertas de segurança configurados (Dependabot/Snyk)
-- [ ] Processo de atualização definido
-### A07: Identification and Authentication Failures
-- [ ] Políticas de senha adequadas
-- [ ] Proteção contra brute force
-- [ ] Session management seguro
-### A08: Software and Data Integrity Failures
-- [ ] Verificação de integridade em dependências
-- [ ] CI/CD seguro
-- [ ] Assinatura de código (se aplicável)
-### A09: Security Logging and Monitoring
-- [ ] Logs de eventos de segurança
-- [ ] Alertas para eventos suspeitos
-- [ ] Retenção adequada de logs
-- [ ] Logs protegidos contra tampering
-### A10: Server-Side Request Forgery
-- [ ] URLs externas validadas
-- [ ] Whitelist de domínios permitidos
-- [ ] Metadados de cloud bloqueados
----
-## 5. Infraestrutura
-- [ ] Firewall configurado
-- [ ] Grupos de segurança restritivos
-- [ ] Acesso SSH restrito (bastion/chave)
-- [ ] Secrets em vault (não em env vars plain)
-- [ ] Containers rodando como non-root
-- [ ] Imagens base atualizadas
----
-## 6. API Security
-- [ ] Rate limiting implementado
-- [ ] Validação de Content-Type
-- [ ] Tamanho máximo de payload definido
-- [ ] Timeout de requisições
-- [ ] CORS restritivo
-- [ ] API keys rotacionadas
----
-## 7. Riscos de IA (se aplicável)
-- [ ] Inputs de usuário não vão direto para LLM
-- [ ] Proteção contra prompt injection
-- [ ] Dados sensíveis não enviados para AI externa
-- [ ] Output de IA validado antes de uso
-- [ ] Logs de AI não contêm PII
----
-## 8. Testes de Segurança
-- [ ] SAST configurado no CI (Semgrep/CodeQL)
-- [ ] DAST em staging (OWASP ZAP)
-- [ ] Dependency scanning
-- [ ] Pentest realizado (para sistemas críticos)
----
-## 9. Resposta a Incidentes
-- [ ] Plano de resposta documentado
-- [ ] Contatos de emergência definidos
-- [ ] Processo de rollback testado
-- [ ] Comunicação com usuários planejada
----
-## Resumo de Status
-| Categoria | Checados | Total | % |
-|---|---|---|---|
-| Autenticação | /8 | 8 | % |
-| Autorização | /5 | 5 | % |
-| Dados | /12 | 12 | % |
-| OWASP | /20 | 20 | % |
-| Infra | /7 | 7 | % |
-| API | /6 | 6 | % |
-| IA | /5 | 5 | % |
-| Testes | /4 | 4 | % |
-| **TOTAL** | | 67 | % |
----
-## Changelog
-| Versão | Data | Autor | Mudanças |
-|---|---|---|---|
-| 1.0 | YYYY-MM-DD | [Nome] | Versão inicial |
+# Checklist de Segurança: [Nome do Sistema]
+**Versão:** 1.0
+**Data:** YYYY-MM-DD
+**Responsável:** [Nome]
+**Arquitetura Relacionada:** [Link]
+---
+## 1. Autenticação
+- [ ] Senhas hasheadas com algoritmo seguro (bcrypt/argon2)
+- [ ] Política de senha forte implementada (min 8 chars, complexidade)
+- [ ] Rate limiting em endpoints de login
+- [ ] Bloqueio após N tentativas falhas
+- [ ] 2FA disponível (se aplicável)
+- [ ] Tokens JWT com expiração curta (< 15 min)
+- [ ] Refresh tokens com rotação
+- [ ] Logout invalida tokens
+---
+## 2. Autorização
+- [ ] Modelo de autorização definido (RBAC/ABAC)
+- [ ] Verificação de permissão em cada endpoint
+- [ ] Não há exposição de dados entre usuários
+- [ ] Admin separado de user comum
+- [ ] Princípio do menor privilégio aplicado
+---
+## 3. Proteção de Dados
+### 3.1 Dados em Trânsito
+- [ ] HTTPS obrigatório em produção
+- [ ] TLS 1.2+ configurado
+- [ ] HSTS habilitado
+- [ ] Certificados válidos e atualizados
+### 3.2 Dados em Repouso
+- [ ] Dados sensíveis criptografados no banco
+- [ ] Backups criptografados
+- [ ] Chaves de criptografia rotacionadas
+### 3.3 Dados Sensíveis
+- [ ] PII identificada e mapeada
+- [ ] Logs não contêm dados sensíveis
+- [ ] Mascaramento em ambientes não-prod
+- [ ] LGPD/GDPR compliance (se aplicável)
+---
+## 4. OWASP Top 10
+### A01: Broken Access Control
+- [ ] Verificação de autorização lado servidor
+- [ ] CORS configurado corretamente
+- [ ] Tokens não expostos em URLs
+### A02: Cryptographic Failures
+- [ ] Algoritmos modernos (AES-256, RSA-2048+)
+- [ ] Sem secrets hardcoded
+- [ ] Gerenciamento seguro de chaves
+### A03: Injection
+- [ ] Queries parametrizadas (ORM/prepared statements)
+- [ ] Validação de input em todo lugar
+- [ ] Sanitização de output (XSS)
+### A04: Insecure Design
+- [ ] Threat modeling realizado
+- [ ] Princípios de segurança desde o design
+- [ ] Revisão de segurança em features críticas
+### A05: Security Misconfiguration
+- [ ] Headers de segurança (Helmet)
+- [ ] Versões atualizadas de dependências
+- [ ] Debug desabilitado em prod
+- [ ] Ports desnecessárias fechadas
+### A06: Vulnerable Components
+- [ ] Dependências auditadas regularmente
+- [ ] Alertas de segurança configurados (Dependabot/Snyk)
+- [ ] Processo de atualização definido
+### A07: Identification and Authentication Failures
+- [ ] Políticas de senha adequadas
+- [ ] Proteção contra brute force
+- [ ] Session management seguro
+### A08: Software and Data Integrity Failures
+- [ ] Verificação de integridade em dependências
+- [ ] CI/CD seguro
+- [ ] Assinatura de código (se aplicável)
+### A09: Security Logging and Monitoring
+- [ ] Logs de eventos de segurança
+- [ ] Alertas para eventos suspeitos
+- [ ] Retenção adequada de logs
+- [ ] Logs protegidos contra tampering
+### A10: Server-Side Request Forgery
+- [ ] URLs externas validadas
+- [ ] Whitelist de domínios permitidos
+- [ ] Metadados de cloud bloqueados
+---
+## 5. Infraestrutura
+- [ ] Firewall configurado
+- [ ] Grupos de segurança restritivos
+- [ ] Acesso SSH restrito (bastion/chave)
+- [ ] Secrets em vault (não em env vars plain)
+- [ ] Containers rodando como non-root
+- [ ] Imagens base atualizadas
+---
+## 6. API Security
+- [ ] Rate limiting implementado
+- [ ] Validação de Content-Type
+- [ ] Tamanho máximo de payload definido
+- [ ] Timeout de requisições
+- [ ] CORS restritivo
+- [ ] API keys rotacionadas
+---
+## 7. Riscos de IA (se aplicável)
+- [ ] Inputs de usuário não vão direto para LLM
+- [ ] Proteção contra prompt injection
+- [ ] Dados sensíveis não enviados para AI externa
+- [ ] Output de IA validado antes de uso
+- [ ] Logs de AI não contêm PII
+---
+## 8. Testes de Segurança
+- [ ] SAST configurado no CI (Semgrep/CodeQL)
+- [ ] DAST em staging (OWASP ZAP)
+- [ ] Dependency scanning
+- [ ] Pentest realizado (para sistemas críticos)
+---
+## 9. Resposta a Incidentes
+- [ ] Plano de resposta documentado
+- [ ] Contatos de emergência definidos
+- [ ] Processo de rollback testado
+- [ ] Comunicação com usuários planejada
+---
+## Resumo de Status
+| Categoria | Checados | Total | % |
+|---|---|---|---|
+| Autenticação | /8 | 8 | % |
+| Autorização | /5 | 5 | % |
+| Dados | /12 | 12 | % |
+| OWASP | /20 | 20 | % |
+| Infra | /7 | 7 | % |
+| API | /6 | 6 | % |
+| IA | /5 | 5 | % |
+| Testes | /4 | 4 | % |
+| **TOTAL** | | 67 | % |
+---
+## Changelog
+| Versão | Data | Autor | Mudanças |
+|---|---|---|---|
+| 1.0 | YYYY-MM-DD | [Nome] | Versão inicial |

package/dist/content/templates/contexto.md CHANGED Viewed

@@ -1,120 +1,120 @@
-# Contexto do Projeto
-> **Instruções**: Copie este template para `docs/CONTEXTO.md` no seu projeto.
-> Atualize após cada fase para manter o contexto entre sessões.
----
-## Metadados
-| Campo | Valor |
-|-------|-------|
-| **Nome do Projeto** | [NOME] |
-| **Nível de Complexidade** | [ ] Simples / [ ] Médio / [ ] Complexo |
-| **Fase Atual** | [1-10] |
-| **Última Atualização** | [DATA] |
----
-## Resumo Executivo
-[2-3 linhas sobre o que o sistema faz, para quem e qual problema resolve]
----
-## Stack Tecnológica
-| Camada | Tecnologia | Justificativa |
-|--------|------------|---------------|
-| Frontend | | |
-| Backend | | |
-| Banco de Dados | | |
-| Infraestrutura | | |
-| Testes | | |
----
-## Modelo de Domínio (Resumo)
-| Entidade | Principais Atributos | Relacionamentos |
-|----------|---------------------|-----------------|
-| | | |
-| | | |
-| | | |
----
-## Decisões Arquiteturais (Resumo)
-| ID | Decisão | Escolha | Justificativa |
-|----|---------|---------|---------------|
-| ADR-001 | | | |
-| ADR-002 | | | |
----
-## Artefatos Existentes
-> Marque os artefatos já criados e seus caminhos:
-### Fase 1: Produto
-- [ ] PRD: `docs/01-produto/PRD.md`
-### Fase 2: Requisitos
-- [ ] Requisitos: `docs/02-requisitos/requisitos.md`
-- [ ] Critérios de Aceite: `docs/02-requisitos/criterios-aceite.md`
-### Fase 3: UX
-- [ ] Design Doc: `docs/03-ux/design-doc.md`
-### Fase 4: Modelagem
-- [ ] Modelo de Domínio: `docs/04-modelo/modelo-dominio.md`
-### Fase 5: Arquitetura
-- [ ] Arquitetura: `docs/05-arquitetura/arquitetura.md`
-- [ ] ADRs: `docs/05-arquitetura/adr/`
-### Fase 6: Segurança
-- [ ] Checklist: `docs/06-seguranca/checklist.md`
-### Fase 7: Testes
-- [ ] Plano de Testes: `docs/07-testes/plano-testes.md`
-### Fase 8: Backlog
-- [ ] Backlog: `docs/08-backlog/backlog.md`
----
-## Histórico de Fases
-| Fase | Nome | Data Conclusão | Gate Status |
-|------|------|----------------|-------------|
-| 1 | Produto | | [ ] Aprovado |
-| 2 | Requisitos | | [ ] Aprovado |
-| 3 | UX | | [ ] Aprovado |
-| 4 | Modelagem | | [ ] Aprovado |
-| 5 | Arquitetura | | [ ] Aprovado |
-| 6 | Segurança | | [ ] Aprovado |
-| 7 | Testes | | [ ] Aprovado |
-| 8 | Backlog | | [ ] Aprovado |
----
-## Como Usar Este Arquivo
-### No início de cada sessão com IA:
-```text
-Aqui está o contexto do meu projeto:
-[COLE O CONTEÚDO DESTE ARQUIVO]
-Continuando da fase [X], preciso [DESCREVER TAREFA].
-```
-### Após cada fase concluída:
-1. Atualize a seção "Artefatos Existentes"
-2. Atualize "Histórico de Fases"
-3. Atualize "Modelo de Domínio" e "Decisões" se houver mudanças
-4. Atualize "Fase Atual" e "Última Atualização"
+# Contexto do Projeto
+> **Instruções**: Copie este template para `docs/CONTEXTO.md` no seu projeto.
+> Atualize após cada fase para manter o contexto entre sessões.
+---
+## Metadados
+| Campo | Valor |
+|-------|-------|
+| **Nome do Projeto** | [NOME] |
+| **Nível de Complexidade** | [ ] Simples / [ ] Médio / [ ] Complexo |
+| **Fase Atual** | [1-10] |
+| **Última Atualização** | [DATA] |
+---
+## Resumo Executivo
+[2-3 linhas sobre o que o sistema faz, para quem e qual problema resolve]
+---
+## Stack Tecnológica
+| Camada | Tecnologia | Justificativa |
+|--------|------------|---------------|
+| Frontend | | |
+| Backend | | |
+| Banco de Dados | | |
+| Infraestrutura | | |
+| Testes | | |
+---
+## Modelo de Domínio (Resumo)
+| Entidade | Principais Atributos | Relacionamentos |
+|----------|---------------------|-----------------|
+| | | |
+| | | |
+| | | |
+---
+## Decisões Arquiteturais (Resumo)
+| ID | Decisão | Escolha | Justificativa |
+|----|---------|---------|---------------|
+| ADR-001 | | | |
+| ADR-002 | | | |
+---
+## Artefatos Existentes
+> Marque os artefatos já criados e seus caminhos:
+### Fase 1: Produto
+- [ ] PRD: `docs/01-produto/PRD.md`
+### Fase 2: Requisitos
+- [ ] Requisitos: `docs/02-requisitos/requisitos.md`
+- [ ] Critérios de Aceite: `docs/02-requisitos/criterios-aceite.md`
+### Fase 3: UX
+- [ ] Design Doc: `docs/03-ux/design-doc.md`
+### Fase 4: Modelagem
+- [ ] Modelo de Domínio: `docs/04-modelo/modelo-dominio.md`
+### Fase 5: Arquitetura
+- [ ] Arquitetura: `docs/05-arquitetura/arquitetura.md`
+- [ ] ADRs: `docs/05-arquitetura/adr/`
+### Fase 6: Segurança
+- [ ] Checklist: `docs/06-seguranca/checklist.md`
+### Fase 7: Testes
+- [ ] Plano de Testes: `docs/07-testes/plano-testes.md`
+### Fase 8: Backlog
+- [ ] Backlog: `docs/08-backlog/backlog.md`
+---
+## Histórico de Fases
+| Fase | Nome | Data Conclusão | Gate Status |
+|------|------|----------------|-------------|
+| 1 | Produto | | [ ] Aprovado |
+| 2 | Requisitos | | [ ] Aprovado |
+| 3 | UX | | [ ] Aprovado |
+| 4 | Modelagem | | [ ] Aprovado |
+| 5 | Arquitetura | | [ ] Aprovado |
+| 6 | Segurança | | [ ] Aprovado |
+| 7 | Testes | | [ ] Aprovado |
+| 8 | Backlog | | [ ] Aprovado |
+---
+## Como Usar Este Arquivo
+### No início de cada sessão com IA:
+```text
+Aqui está o contexto do meu projeto:
+[COLE O CONTEÚDO DESTE ARQUIVO]
+Continuando da fase [X], preciso [DESCREVER TAREFA].
+```
+### Após cada fase concluída:
+1. Atualize a seção "Artefatos Existentes"
+2. Atualize "Histórico de Fases"
+3. Atualize "Modelo de Domínio" e "Decisões" se houver mudanças
+4. Atualize "Fase Atual" e "Última Atualização"