@semacode/cli 1.5.25 → 1.5.27

package/docs/cli.md

@@ -4,7 +4,7 @@
 
 The Sema CLI is the public npm package for local semantic governance. It validates `.sema` contracts, checks drift, maps impact, prepares AI-first context, resolves documentation gates, and runs profile validators before an agent continues.
 
-Current public version: `1.5.25`.
+Current public version: `1.5.27`.
 
 ```bash
 npm install -g @semacode/cli
@@ -16,7 +16,7 @@ sema validar contratos/pedidos.sema --json
 
 A CLI da Sema é o pacote público no npm para governança semântica local. Ela valida contratos `.sema`, verifica drift, mapeia impacto, prepara contexto IA-first, resolve gates de documentação e roda validadores de profiles antes de um agente continuar.
 
-Versão pública atual: `1.5.25`.
+Versão pública atual: `1.5.27`.
 
 ```bash
 npm install -g @semacode/cli
@@ -28,7 +28,7 @@ sema validar contratos/pedidos.sema --json
 
 La CLI de Sema es el paquete público en npm para gobernanza semántica local. Valida contratos `.sema`, verifica drift, mapea impacto, prepara contexto IA-first, resuelve gates de documentación y ejecuta validadores de profiles antes de que un agente continúe.
 
-Versión pública actual: `1.5.25`.
+Versión pública actual: `1.5.27`.
 
 ```bash
 npm install -g @semacode/cli
@@ -76,7 +76,7 @@ Adoção incremental:
 
 ## Persistência vendor-first
 
-A linha 1.5.25 mantém persistência vendor-first como seção canônica no contrato, no semântico, na IR e no formatador, além de `drift` com escopo real, `impacto`, renomeação semântica assistida, `verificar` mais coerente nos alvos gerados, match de métodos JS/TS definidos via `Object.assign(...prototype...)`, leitura de `Preferences`/`localStorage`/`sessionStorage`, fallback para `angular-consumer` standalone sem `.routes`, limpeza de runtime da CLI pública no Windows, Sema Author oficial e MCP remoto desmembrado da distribuição pública.
+A linha 1.5.27 mantém persistência vendor-first como seção canônica no contrato, no semântico, na IR e no formatador, além de `drift` com escopo real, `impacto`, renomeação semântica assistida, `verificar` mais coerente nos alvos gerados, match de métodos JS/TS definidos via `Object.assign(...prototype...)`, leitura de `Preferences`/`localStorage`/`sessionStorage`, fallback para `angular-consumer` standalone sem `.routes`, limpeza de runtime da CLI pública no Windows, Sema Author oficial e MCP remoto desmembrado da distribuição pública.
 
 Cobertura pública:
 

package/docs/env.md

@@ -25,13 +25,13 @@ Ambiente necessário para publicar a Sema.
 No PowerShell, o instalador recebe a versão por parametro:
 
 ```powershell
-.\install-sema.ps1 -Version 1.5.25 -WithVSCode
+.\install-sema.ps1 -Version 1.5.27 -WithVSCode
 ```
 
 No shell:
 
 ```bash
-SEMA_VERSION=1.5.25 ./install-sema.sh --with-vscode
+SEMA_VERSION=1.5.27 ./install-sema.sh --with-vscode
 ```
 
 ## Credenciais
@@ -92,7 +92,7 @@ Nunca publique `/mcp` ou `/sse` na internet sem chave comercial bearer por reque
 
 ## GitHub Release
 
-O tag público deve seguir `v<versao>`, por exemplo `v1.5.25`.
+O tag público deve seguir `v<versao>`, por exemplo `v1.5.27`.
 
 Os assets ficam em `.tmp/release-assets` e sao derivados dos scripts versionados no repositório.
 

package/docs/instalacao-e-primeiro-uso.md

@@ -4,7 +4,7 @@
 
 This guide covers the current public installation path for the Sema CLI and VS Code extension. The remote MCP server is a private/commercial authorized service and is not distributed as a public npm package.
 
-Current public version: `1.5.25`.
+Current public version: `1.5.27`.
 
 ```bash
 npm install -g @semacode/cli
@@ -16,7 +16,7 @@ sema doctor
 
 Este guia cobre o caminho público atual da Sema para CLI e extensão VS Code. O servidor MCP remoto é um serviço privado/comercial autorizado e não é distribuído como pacote npm público.
 
-Versão pública atual: `1.5.25`.
+Versão pública atual: `1.5.27`.
 
 ```bash
 npm install -g @semacode/cli
@@ -28,7 +28,7 @@ sema doctor
 
 Esta guía cubre el camino público actual de instalación para la CLI de Sema y la extensión de VS Code. El servidor MCP remoto es un servicio privado/comercial autorizado y no se distribuye como paquete público de npm.
 
-Versión pública actual: `1.5.25`.
+Versión pública actual: `1.5.27`.
 
 ```bash
 npm install -g @semacode/cli
@@ -58,7 +58,7 @@ sema docs-impacto --intencao "alterar projeto" --json
 Instalação de uma versão específica pelo npm:
 
 ```bash
-npm install -g @semacode/cli@1.5.25
+npm install -g @semacode/cli@1.5.27
 ```
 
 Instalação local ao projeto:
@@ -93,7 +93,7 @@ Se quiser uma tag específica, troque `main` pela versão desejada.
 
 ```bash
 npm run extensao:empacotar
-code --install-extension .tmp/editor-vscode/sema-language-tools-1.5.25.vsix --force
+code --install-extension .tmp/editor-vscode/sema-language-tools-1.5.27.vsix --force
 ```
 
 Os assets versionados da VSIX devem ser anexados manualmente a GitHub Releases quando houver release pública com binários. Se `--with-vscode` for usado antes disso, o instalador mantém a CLI instalada e apenas pula a extensão.

package/docs/persistencia-vendor-first.md

@@ -6,7 +6,7 @@
 > ES: Español al final; não traduza comandos, rotas nem sómbolos `.sema` sem contrato.
 
 
-Sema 1.5.25 trata banco como superficie semântica de primeira classe. Isso significa assumir diferenças reais entre engines e coloca-las no contrato, no semântico, na IR, no drift, no impact map, na renomeacao assistida, no `verificar` e na extensao. Nesta linha, o `drift` também materializa persistência local real em `Preferences`, `localStorage` e `sessionStorage` quando a task está ancorada no arquivo que usa essas APIs, preservando o framing IA-first da release atual.
+Sema 1.5.27 trata banco como superficie semântica de primeira classe. Isso significa assumir diferenças reais entre engines e coloca-las no contrato, no semântico, na IR, no drift, no impact map, na renomeacao assistida, no `verificar` e na extensao. Nesta linha, o `drift` também materializa persistência local real em `Preferences`, `localStorage` e `sessionStorage` quando a task está ancorada no arquivo que usa essas APIs, preservando o framing IA-first da release atual.
 
 ## Engines publicas
 

package/docs/repositories.md

@@ -0,0 +1,54 @@
+# Repository Boundary
+
+<!-- sema:i18n -->
+> EN: English first.
+> PT: Português depois.
+> ES: Español al final.
+
+## English
+
+Sema uses an open-core repository boundary.
+
+The public repository contains the semantic language, parser, public CLI, base profiles, examples, generic documentation, public tests, and the basic editor extension. It must be useful for adoption, learning, local validation, and community contribution without exposing commercial operations.
+
+The private repository contains the hosted product: commercial website, account panel, OAuth and key issuance flows, Supabase control plane, billing, production deployment, operational runbooks, private integrations, customer data, private rule packs, generated snapshots, and commercial showcases.
+
+Before any public push, release, or npm publication, run:
+
+```bash
+npm run repo:verificar-publico
+```
+
+If the check blocks a file, move it to the private repository or replace it with a public-safe example.
+
+## Português
+
+A Sema usa uma fronteira open-core entre repositórios.
+
+O repositório público contém a linguagem semântica, parser, CLI pública, profiles base, exemplos, documentação genérica, testes públicos e a extensão básica do editor. Ele precisa ser útil para adoção, aprendizado, validação local e contribuição da comunidade sem expor a operação comercial.
+
+O repositório privado contém o produto hospedado: site comercial, painel de conta, fluxos de OAuth e emissão de chaves, control plane Supabase, billing, deploy de produção, runbooks operacionais, integrações privadas, dados de clientes, rule packs privados, snapshots gerados e showcases comerciais.
+
+Antes de qualquer push público, release ou publicação npm, rode:
+
+```bash
+npm run repo:verificar-publico
+```
+
+Se o check bloquear um arquivo, mova para o repositório privado ou substitua por um exemplo seguro para o público.
+
+## Español
+
+Sema usa una frontera open-core entre repositorios.
+
+El repositorio público contiene el lenguaje semántico, parser, CLI pública, perfiles base, ejemplos, documentación genérica, pruebas públicas y la extensión básica del editor. Debe servir para adopción, aprendizaje, validación local y contribución de la comunidad sin exponer la operación comercial.
+
+El repositorio privado contiene el producto hospedado: sitio comercial, panel de cuenta, flujos de OAuth y emisión de claves, control plane Supabase, billing, despliegue de producción, runbooks operativos, integraciones privadas, datos de clientes, rule packs privados, snapshots generados y showcases comerciales.
+
+Antes de cualquier push público, release o publicación npm, ejecuta:
+
+```bash
+npm run repo:verificar-publico
+```
+
+Si el check bloquea un archivo, muévelo al repositorio privado o sustitúyelo por un ejemplo seguro para el público.

package/docs/rollback.md

@@ -25,7 +25,7 @@ npm dist-tag add @semacode/cli@<versao-boa> latest
 ```
 
 3. Se o problema for só VSIX ou asset de release, substitua o asset no GitHub Release ou publique uma release patch.
-4. Prefira publicar patch corretivo (`1.5.25`, por exemplo) quando o pacote já saiu para usuários.
+4. Prefira publicar patch corretivo (`1.5.27`, por exemplo) quando o pacote já saiu para usuários.
 
 ## Validação de rollback
 

package/docs/seguranca.md

@@ -0,0 +1,126 @@
+# Security
+
+<!-- sema:i18n -->
+> EN: English first.
+> PT: Português depois, com acentos preservados.
+> ES: Español al final.
+
+## EN
+
+The remote Sema MCP is a sensitive surface. It lets authorized agents read contracts, check drift, generate IA-first context, and operate inside allowed roots. Security depends on these controls working together:
+
+1. HTTPS on the public proxy.
+2. Commercial `sema_mcp_*` bearer key per request or OAuth authentication.
+3. `SEMA_MCP_PROJECT_ROOTS` pointing to a dedicated server root, for example `/srv/sema/projetos`.
+4. Contract-first operation before code, deploy, docs, workflow, Author text, game, legal, research, or ops actions.
+
+Do not publish the server without those controls.
+
+### Data That Must Not Leak
+
+- GitHub, npm, Supabase, SSH, or Git Credential Manager tokens.
+- Client-side `SEMA_MCP_AUTH_TOKEN` values containing `sema_mcp_*` keys.
+- `SEMA_MCP_OAUTH_SECRET`.
+- `SEMA_MCP_OAUTH_PASSCODE`.
+- Private key content.
+- `.env`, build caches, uploads, installed dependencies, or temporary snapshots with secrets.
+
+Operational runbooks may document non-secret references, such as the public domain, service name, and generic deployment role. They must never include private key bodies, private-key filenames, local key paths, non-public IPs, real server paths, or secret inventory details.
+
+### Remote Operation
+
+- Use the smallest privilege that still performs the job.
+- Do not log `Authorization` headers.
+- Do not publish `/mcp` with empty `SEMA_MCP_PROJECT_ROOTS`.
+- Keep Caddy or the reverse proxy with valid TLS.
+- Test `/mcp` without token and expect an authorization challenge.
+- Test account-scoped MCP tokens before declaring the product flow ready.
+
+### Incident
+
+If a secret appears in chat, screenshot, log, release, or Git history:
+
+1. Treat it as compromised.
+2. Rotate it at the provider.
+3. Remove it from the current file.
+4. If it reached Git, rewrite history or revoke it permanently.
+
+## PT
+
+O Sema MCP remoto é uma superfície sensível. Ele permite que agentes autorizados leiam contratos, verifiquem drift, gerem contexto IA-first e operem dentro das raízes permitidas. A segurança depende destas travas trabalhando juntas:
+
+1. HTTPS no proxy público.
+2. Autenticacao por chave comercial `sema_mcp_*` por request ou OAuth.
+3. `SEMA_MCP_PROJECT_ROOTS` apontando para uma raiz dedicada no servidor, por exemplo `/srv/sema/projetos`.
+4. Operação contract-first antes de código, deploy, docs, workflow, texto Author, jogo, jurídico, pesquisa ou ops.
+
+Não publique o servidor sem essas travas.
+
+### Dados Que Não Podem Vazar
+
+- Tokens de GitHub, npm, Supabase, SSH ou Git Credential Manager.
+- Valores locais de `SEMA_MCP_AUTH_TOKEN` contendo chaves `sema_mcp_*`.
+- `SEMA_MCP_OAUTH_SECRET`.
+- `SEMA_MCP_OAUTH_PASSCODE`.
+- Conteúdo de chave privada.
+- `.env`, caches de build, uploads, dependências instaladas ou snapshots temporários com segredo.
+
+Runbooks operacionais podem documentar referências não secretas, como domínio público, nome do serviço e papel genérico de deploy. Eles nunca devem incluir corpo de chave privada, nomes de arquivos de chave privada, caminhos locais de chave, IPs não públicos, caminhos reais de servidor ou detalhes do inventário de segredos.
+
+### Operação Remota
+
+- Use o menor privilégio que ainda executa o trabalho.
+- Não registre headers `Authorization` em logs.
+- Não publique `/mcp` com `SEMA_MCP_PROJECT_ROOTS` vazio.
+- Mantenha Caddy ou reverse proxy com TLS válido.
+- Teste `/mcp` sem token esperando desafio de autorização.
+- Teste tokens MCP por conta antes de declarar o fluxo de produto pronto.
+
+### Incidente
+
+Se um segredo aparecer em chat, print, log, release ou histórico Git:
+
+1. Considere comprometido.
+2. Rotacione no provedor de origem.
+3. Remova do arquivo atual.
+4. Se chegou ao Git, reescreva histórico ou revogue definitivamente o segredo.
+
+## ES
+
+El Sema MCP remoto es una superficie sensible. Permite que agentes autorizados lean contratos, verifiquen drift, generen contexto IA-first y operen dentro de las raíces permitidas. La seguridad depende de estos controles trabajando juntos:
+
+1. HTTPS en el proxy público.
+2. Autenticacion por clave comercial `sema_mcp_*` por request u OAuth.
+3. `SEMA_MCP_PROJECT_ROOTS` apuntando a una raíz dedicada en el servidor, por ejemplo `/srv/sema/projetos`.
+4. Operación contract-first antes de código, despliegue, docs, workflow, texto Author, juego, legal, investigación u ops.
+
+No publiques el servidor sin esos controles.
+
+### Datos Que No Deben Filtrarse
+
+- Tokens de GitHub, npm, Supabase, SSH o Git Credential Manager.
+- Valores locales de `SEMA_MCP_AUTH_TOKEN` con claves `sema_mcp_*`.
+- `SEMA_MCP_OAUTH_SECRET`.
+- `SEMA_MCP_OAUTH_PASSCODE`.
+- Contenido de llave privada.
+- `.env`, cachés de build, uploads, dependencias instaladas o snapshots temporales con secretos.
+
+Los runbooks operativos pueden documentar referencias no secretas, como dominio público, nombre del servicio y rol genérico de despliegue. Nunca deben incluir el cuerpo de la llave privada, nombres de archivos de llave privada, rutas locales de llaves, IPs no públicas, rutas reales del servidor o detalles del inventario de secretos.
+
+### Operación Remota
+
+- Usa el menor privilegio que todavía permita ejecutar el trabajo.
+- No registres headers `Authorization` en logs.
+- No publiques `/mcp` con `SEMA_MCP_PROJECT_ROOTS` vacío.
+- Mantén Caddy o el reverse proxy con TLS válido.
+- Prueba `/mcp` sin token y espera un desafío de autorización.
+- Prueba tokens MCP por cuenta antes de declarar listo el flujo de producto.
+
+### Incidente
+
+Si un secreto aparece en chat, captura, log, release o historial Git:
+
+1. Trátalo como comprometido.
+2. Rótalo en el proveedor de origen.
+3. Elimínalo del archivo actual.
+4. Si llegó a Git, reescribe el historial o revócalo definitivamente.

package/node_modules/@sema/gerador-css/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-css",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-dart/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-dart",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-html/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-html",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-javascript/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-javascript",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-lua/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-lua",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-python/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-python",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-typescript/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-typescript",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/nucleo/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/nucleo",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/padroes/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/padroes",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@semacode/cli",
-  "version": "1.5.25",
+  "version": "1.5.27",
   "description": "Semantic governance CLI for AI agents: contracts, drift, impact, documentation gates, and Sema profiles for live systems.",
   "type": "module",
   "icon": "logo.png",
@@ -49,15 +49,15 @@
     "LICENSE"
   ],
   "dependencies": {
-    "@sema/nucleo": "1.5.25",
-    "@sema/gerador-dart": "1.5.25",
-    "@sema/gerador-lua": "1.5.25",
-    "@sema/gerador-python": "1.5.25",
-    "@sema/gerador-typescript": "1.5.25",
-    "@sema/gerador-javascript": "1.5.25",
-    "@sema/gerador-html": "1.5.25",
-    "@sema/gerador-css": "1.5.25",
-    "@sema/padroes": "1.5.25",
+    "@sema/nucleo": "1.5.27",
+    "@sema/gerador-dart": "1.5.27",
+    "@sema/gerador-lua": "1.5.27",
+    "@sema/gerador-python": "1.5.27",
+    "@sema/gerador-typescript": "1.5.27",
+    "@sema/gerador-javascript": "1.5.27",
+    "@sema/gerador-html": "1.5.27",
+    "@sema/gerador-css": "1.5.27",
+    "@sema/padroes": "1.5.27",
     "typescript": "^5.8.3"
   },
   "bundledDependencies": [