@semacode/cli 1.5.26 → 1.5.28

package/docs/cli.md

@@ -4,7 +4,7 @@
 
 The Sema CLI is the public npm package for local semantic governance. It validates `.sema` contracts, checks drift, maps impact, prepares AI-first context, resolves documentation gates, and runs profile validators before an agent continues.
 
-Current public version: `1.5.26`.
+Current public version: `1.5.28`.
 
 ```bash
 npm install -g @semacode/cli
@@ -16,7 +16,7 @@ sema validar contratos/pedidos.sema --json
 
 A CLI da Sema é o pacote público no npm para governança semântica local. Ela valida contratos `.sema`, verifica drift, mapeia impacto, prepara contexto IA-first, resolve gates de documentação e roda validadores de profiles antes de um agente continuar.
 
-Versão pública atual: `1.5.26`.
+Versão pública atual: `1.5.28`.
 
 ```bash
 npm install -g @semacode/cli
@@ -28,7 +28,7 @@ sema validar contratos/pedidos.sema --json
 
 La CLI de Sema es el paquete público en npm para gobernanza semántica local. Valida contratos `.sema`, verifica drift, mapea impacto, prepara contexto IA-first, resuelve gates de documentación y ejecuta validadores de profiles antes de que un agente continúe.
 
-Versión pública actual: `1.5.26`.
+Versión pública actual: `1.5.28`.
 
 ```bash
 npm install -g @semacode/cli
@@ -76,7 +76,7 @@ Adoção incremental:
 
 ## Persistência vendor-first
 
-A linha 1.5.26 mantém persistência vendor-first como seção canônica no contrato, no semântico, na IR e no formatador, além de `drift` com escopo real, `impacto`, renomeação semântica assistida, `verificar` mais coerente nos alvos gerados, match de métodos JS/TS definidos via `Object.assign(...prototype...)`, leitura de `Preferences`/`localStorage`/`sessionStorage`, fallback para `angular-consumer` standalone sem `.routes`, limpeza de runtime da CLI pública no Windows, Sema Author oficial e MCP remoto desmembrado da distribuição pública.
+A linha 1.5.28 mantém persistência vendor-first como seção canônica no contrato, no semântico, na IR e no formatador, além de `drift` com escopo real, `impacto`, renomeação semântica assistida, `verificar` mais coerente nos alvos gerados, match de métodos JS/TS definidos via `Object.assign(...prototype...)`, leitura de `Preferences`/`localStorage`/`sessionStorage`, fallback para `angular-consumer` standalone sem `.routes`, limpeza de runtime da CLI pública no Windows, Sema Author oficial e MCP remoto desmembrado da distribuição pública.
 
 Cobertura pública:
 

package/docs/deploy.md

@@ -1,258 +1,93 @@
-# Deploy
+# Public Release Runbook
 
 <!-- sema:i18n -->
 > EN: English first.
-> PT: Português depois, com acentos preservados.
+> PT: Português depois.
 > ES: Español al final.
 
-## EN
+## English
 
-This runbook covers two different deploy surfaces for Sema:
+This public runbook covers only the open Sema distribution: source repository, npm CLI package, VS Code extension artifact, release notes, checksums, and public install scripts.
 
-- Sema public website and private MCP server at `https://sema.otimitare.online`.
-- Public package releases for CLI/VSIX/NPM/GitHub.
+Private hosting, account panels, OAuth endpoints, Supabase projects, billing flows, service accounts, customer data, server paths, and commercial deployment scripts belong in the private repository.
 
-The production website/MCP target is the **Sema VPS**, not the OtimiTare application VPS.
+### What Goes Public
 
-### Sema Production VPS
+- Versioned source for the open language, parser, CLI, base profiles, examples, public docs, and basic extension.
+- Public release assets generated under `.tmp/release-assets`.
+- Generic install scripts that do not embed tokens, private URLs, customer identifiers, or server paths.
+- Release notes in this order: English, Portuguese, Spanish.
 
-Operational facts:
+### What Stays Private
 
-- Domain: `sema.otimitare.online`
-- Current public DNS target: resolve the domain before deploy, do not trust an old IP.
-- SSH user: use the operational server user configured outside this repository.
-- SSH identity: resolve it from local SSH config or a secret manager outside this repository.
-- Static site root: `/srv/sema/site`
-- Caddy config in this repo: `deploy/caddy/sema-site.Caddyfile`
-- MCP service: `sema-mcp.service`
-- MCP upstream: `127.0.0.1:3010`
+- Hosted-site code, account panel code, billing, Supabase migrations, OAuth client secrets, MCP key issuing, production Caddy/Nginx files, and server-specific runbooks.
+- Any token, service role, customer identifier, database URL, private endpoint, or local agent configuration.
+- Commercial rule packs and internal dashboards until explicitly approved for public release.
 
-Do not use the stale `otimitare` SSH alias for Sema deploy. It points to an old host/key pair and is not the source of truth.
+### Public Release Checklist
 
-Never commit private key content, private-key filenames, local key paths, IPs that are not already public DNS, or secret inventory details.
+1. Run `npm run repo:verificar-publico`.
+2. Run `npm run project:check`.
+3. Run `npm run release:preparar-publica`.
+4. Publish the npm package only after `npm dist-tag ls @semacode/cli` can be checked.
+5. Push `main` and the matching `v<version>` tag.
+6. Create the GitHub Release from `.tmp/release-assets` and mark it as latest.
+7. Confirm the GitHub About description is English and product-facing.
 
-### Website Deploy
+## Português
 
-Before publishing:
+Este runbook público cobre apenas a distribuição aberta da Sema: repositório-fonte, pacote npm da CLI, artefato da extensão VS Code, notas de release, checksums e instaladores públicos.
 
-```powershell
-node pacotes\cli\dist\index.js validar contratos\sema\site_publico.sema --json
-node pacotes\cli\dist\index.js drift contratos\sema\site_publico.sema --escopo modulo --json
-npm run build
-npm run format:check
-```
+Hospedagem privada, painéis de conta, endpoints OAuth, projetos Supabase, billing, service accounts, dados de clientes, caminhos de servidor e scripts comerciais de deploy ficam no repositório privado.
 
-Confirm the target:
+### O Que Vai Para o Público
 
-```powershell
-Resolve-DnsName sema.otimitare.online
-ssh sema-vps "hostname; systemctl is-active sema-mcp.service; ls -ld /srv/sema/site"
-```
+- Código versionado da linguagem aberta, parser, CLI, profiles base, exemplos, docs públicas e extensão básica.
+- Assets públicos de release gerados em `.tmp/release-assets`.
+- Instaladores genéricos sem tokens, URLs privadas, identificadores de cliente ou caminhos de servidor.
+- Notas de release nesta ordem: inglês, português, espanhol.
 
-Create a remote backup and publish static files:
+### O Que Fica Privado
 
-```powershell
-$stamp = Get-Date -Format "yyyyMMdd-HHmmss"
-ssh sema-vps "mkdir -p /srv/sema/backups/site-$stamp && cp -a /srv/sema/site/. /srv/sema/backups/site-$stamp/"
-scp -r site\sema\* sema-vps:/srv/sema/site/
-```
+- Código do site hospedado, painel de contas, billing, migrations Supabase, OAuth client secrets, emissão de chaves MCP, Caddy/Nginx de produção e runbooks específicos de servidor.
+- Qualquer token, service role, identificador de cliente, URL de banco, endpoint privado ou configuração local de agentes.
+- Rule packs comerciais e dashboards internos até aprovação explícita para release pública.
 
-Validate after deploy:
+### Checklist De Release Pública
 
-```powershell
-curl.exe -k -fsS https://sema.otimitare.online/healthz
-curl.exe -k -fsS https://sema.otimitare.online/painel.html
-curl.exe -k -fsS -D - https://sema.otimitare.online/mcp -o NUL
-```
+1. Rode `npm run repo:verificar-publico`.
+2. Rode `npm run project:check`.
+3. Rode `npm run release:preparar-publica`.
+4. Publique o pacote npm somente depois de conseguir conferir `npm dist-tag ls @semacode/cli`.
+5. Envie `main` e a tag `v<versão>` correspondente.
+6. Crie o GitHub Release a partir de `.tmp/release-assets` e marque como latest.
+7. Confirme que o About do GitHub está em inglês e com posicionamento de produto.
 
-Expected result:
+## Español
 
-- `/healthz` returns healthy.
-- `/painel.html` serves the current static panel.
-- `/mcp` without token does not expose data; it should return an auth challenge or unauthorized response.
+Este runbook público cubre solo la distribución abierta de Sema: repositorio fuente, paquete npm de la CLI, artefacto de la extensión VS Code, notas de release, checksums e instaladores públicos.
 
-### Public Package Release
+El hosting privado, los paneles de cuenta, endpoints OAuth, proyectos Supabase, billing, service accounts, datos de clientes, rutas de servidor y scripts comerciales de despliegue pertenecen al repositorio privado.
 
-Before publishing a CLI or VSIX release:
+### Qué Va Al Público
 
-```bash
-npm run build
-npm run format:check
-npm run status:check
-node --import tsx --test --test-name-pattern "docs operacionais|ajuda de ia" testes/integracao/cli-json-e-editor.test.ts
-sema validar contratos/sema/governanca_ia.sema --json
-sema drift contratos/sema/governanca_ia.sema --escopo modulo --json
-npm run release:verificar-versao
-```
+- Código versionado del lenguaje abierto, parser, CLI, profiles base, ejemplos, docs públicas y extensión básica.
+- Assets públicos de release generados en `.tmp/release-assets`.
+- Instaladores genéricos sin tokens, URLs privadas, identificadores de cliente ni rutas de servidor.
+- Notas de release en este orden: inglés, portugués, español.
 
-Then:
+### Qué Queda Privado
 
-```bash
-npm run release:preparar-publica
-npm run release:publicar-npm
-npm view @semacode/cli version
-npm install -g @semacode/cli@<versao>
-sema --version
-npm run release:verificar-publica
-```
+- Código del sitio hospedado, panel de cuentas, billing, migrations Supabase, OAuth client secrets, emisión de claves MCP, Caddy/Nginx de producción y runbooks específicos de servidor.
+- Cualquier token, service role, identificador de cliente, URL de base de datos, endpoint privado o configuración local de agentes.
+- Rule packs comerciales y dashboards internos hasta aprobación explícita para release pública.
 
-Stop if NPM already has the version, `gh auth status` fails, `npm whoami` fails, Sema validation fails, or release verification finds a mismatch.
+### Checklist De Release Pública
 
-## PT
-
-Este runbook cobre duas superfícies diferentes de deploy da Sema:
-
-- site público e servidor MCP privado em `https://sema.otimitare.online`;
-- releases públicos de CLI/VSIX/NPM/GitHub.
-
-O alvo de produção do site/MCP é a **VPS da Sema**, não a VPS da aplicação OtimiTare.
-
-### VPS de Produção da Sema
-
-Fatos operacionais:
-
-- Domínio: `sema.otimitare.online`
-- DNS público atual: resolva o domínio antes do deploy; não confie em IP antigo.
-- Usuário SSH: use o usuário operacional do servidor configurado fora deste repositório.
-- Identidade SSH: resolva pelo SSH config local ou secret manager fora deste repositório.
-- Raiz do site estático: `/srv/sema/site`
-- Configuração Caddy neste repositório: `deploy/caddy/sema-site.Caddyfile`
-- Serviço MCP: `sema-mcp.service`
-- Upstream MCP: `127.0.0.1:3010`
-
-Não use o alias SSH antigo `otimitare` para deploy da Sema. Ele aponta para host/chave antigos e não é fonte da verdade.
-
-Nunca commite conteúdo de chave privada, nomes de arquivos de chave privada, caminhos locais de chave, IPs que não sejam DNS público ou detalhes do inventário de segredos.
-
-### Deploy do Site
-
-Antes de publicar:
-
-```powershell
-node pacotes\cli\dist\index.js validar contratos\sema\site_publico.sema --json
-node pacotes\cli\dist\index.js drift contratos\sema\site_publico.sema --escopo modulo --json
-npm run build
-npm run format:check
-```
-
-Confirme o alvo:
-
-```powershell
-Resolve-DnsName sema.otimitare.online
-ssh sema-vps "hostname; systemctl is-active sema-mcp.service; ls -ld /srv/sema/site"
-```
-
-Crie backup remoto e publique os arquivos estáticos:
-
-```powershell
-$stamp = Get-Date -Format "yyyyMMdd-HHmmss"
-ssh sema-vps "mkdir -p /srv/sema/backups/site-$stamp && cp -a /srv/sema/site/. /srv/sema/backups/site-$stamp/"
-scp -r site\sema\* sema-vps:/srv/sema/site/
-```
-
-Valide depois do deploy:
-
-```powershell
-curl.exe -k -fsS https://sema.otimitare.online/healthz
-curl.exe -k -fsS https://sema.otimitare.online/painel.html
-curl.exe -k -fsS -D - https://sema.otimitare.online/mcp -o NUL
-```
-
-Resultado esperado:
-
-- `/healthz` responde saudável.
-- `/painel.html` serve o painel estático atual.
-- `/mcp` sem token não expõe dados; deve devolver desafio de autenticação ou não autorizado.
-
-### Release Público
-
-Antes de publicar CLI ou VSIX:
-
-```bash
-npm run build
-npm run format:check
-npm run status:check
-node --import tsx --test --test-name-pattern "docs operacionais|ajuda de ia" testes/integracao/cli-json-e-editor.test.ts
-sema validar contratos/sema/governanca_ia.sema --json
-sema drift contratos/sema/governanca_ia.sema --escopo modulo --json
-npm run release:verificar-versao
-```
-
-Depois:
-
-```bash
-npm run release:preparar-publica
-npm run release:publicar-npm
-npm view @semacode/cli version
-npm install -g @semacode/cli@<versao>
-sema --version
-npm run release:verificar-publica
-```
-
-Pare se a versão já existir no NPM, `gh auth status` falhar, `npm whoami` falhar, a validação Sema falhar ou a verificação de release encontrar desalinhamento.
-
-## ES
-
-Este runbook cubre dos superficies distintas de despliegue de Sema:
-
-- sitio público y servidor MCP privado en `https://sema.otimitare.online`;
-- releases públicos de CLI/VSIX/NPM/GitHub.
-
-El destino de producción del sitio/MCP es la **VPS de Sema**, no la VPS de la aplicación OtimiTare.
-
-### VPS de Producción de Sema
-
-Datos operativos:
-
-- Dominio: `sema.otimitare.online`
-- DNS público actual: resuelve el dominio antes del despliegue; no confíes en una IP antigua.
-- Usuario SSH: usa el usuario operativo del servidor configurado fuera de este repositorio.
-- Identidad SSH: resuélvela desde el SSH config local o secret manager fuera de este repositorio.
-- Raíz del sitio estático: `/srv/sema/site`
-- Configuración Caddy en este repositorio: `deploy/caddy/sema-site.Caddyfile`
-- Servicio MCP: `sema-mcp.service`
-- Upstream MCP: `127.0.0.1:3010`
-
-No uses el alias SSH antiguo `otimitare` para desplegar Sema. Apunta a un host/par de llaves antiguo y no es la fuente de verdad.
-
-Nunca hagas commit del contenido de la llave privada, nombres de archivos de llave privada, rutas locales de llaves, IPs que no sean DNS público o detalles del inventario de secretos.
-
-### Despliegue del Sitio
-
-Antes de publicar:
-
-```powershell
-node pacotes\cli\dist\index.js validar contratos\sema\site_publico.sema --json
-node pacotes\cli\dist\index.js drift contratos\sema\site_publico.sema --escopo modulo --json
-npm run build
-npm run format:check
-```
-
-Confirma el destino:
-
-```powershell
-Resolve-DnsName sema.otimitare.online
-ssh sema-vps "hostname; systemctl is-active sema-mcp.service; ls -ld /srv/sema/site"
-```
-
-Crea backup remoto y publica los archivos estáticos:
-
-```powershell
-$stamp = Get-Date -Format "yyyyMMdd-HHmmss"
-ssh sema-vps "mkdir -p /srv/sema/backups/site-$stamp && cp -a /srv/sema/site/. /srv/sema/backups/site-$stamp/"
-scp -r site\sema\* sema-vps:/srv/sema/site/
-```
-
-Valida después del despliegue:
-
-```powershell
-curl.exe -k -fsS https://sema.otimitare.online/healthz
-curl.exe -k -fsS https://sema.otimitare.online/painel.html
-curl.exe -k -fsS -D - https://sema.otimitare.online/mcp -o NUL
-```
-
-Resultado esperado:
-
-- `/healthz` responde saludable.
-- `/painel.html` sirve el panel estático actual.
-- `/mcp` sin token no expone datos; debe devolver desafío de autenticación o no autorizado.
+1. Ejecuta `npm run repo:verificar-publico`.
+2. Ejecuta `npm run project:check`.
+3. Ejecuta `npm run release:preparar-publica`.
+4. Publica el paquete npm solo después de poder verificar `npm dist-tag ls @semacode/cli`.
+5. Envía `main` y la tag `v<versión>` correspondiente.
+6. Crea el GitHub Release desde `.tmp/release-assets` y márcalo como latest.
+7. Confirma que el About de GitHub está en inglés y con posicionamiento de producto.

package/docs/env.md

@@ -25,13 +25,13 @@ Ambiente necessário para publicar a Sema.
 No PowerShell, o instalador recebe a versão por parametro:
 
 ```powershell
-.\install-sema.ps1 -Version 1.5.26 -WithVSCode
+.\install-sema.ps1 -Version 1.5.28 -WithVSCode
 ```
 
 No shell:
 
 ```bash
-SEMA_VERSION=1.5.26 ./install-sema.sh --with-vscode
+SEMA_VERSION=1.5.28 ./install-sema.sh --with-vscode
 ```
 
 ## Credenciais
@@ -92,7 +92,7 @@ Nunca publique `/mcp` ou `/sse` na internet sem chave comercial bearer por reque
 
 ## GitHub Release
 
-O tag público deve seguir `v<versao>`, por exemplo `v1.5.26`.
+O tag público deve seguir `v<versao>`, por exemplo `v1.5.28`.
 
 Os assets ficam em `.tmp/release-assets` e sao derivados dos scripts versionados no repositório.
 

package/docs/instalacao-e-primeiro-uso.md

@@ -4,7 +4,7 @@
 
 This guide covers the current public installation path for the Sema CLI and VS Code extension. The remote MCP server is a private/commercial authorized service and is not distributed as a public npm package.
 
-Current public version: `1.5.26`.
+Current public version: `1.5.28`.
 
 ```bash
 npm install -g @semacode/cli
@@ -16,7 +16,7 @@ sema doctor
 
 Este guia cobre o caminho público atual da Sema para CLI e extensão VS Code. O servidor MCP remoto é um serviço privado/comercial autorizado e não é distribuído como pacote npm público.
 
-Versão pública atual: `1.5.26`.
+Versão pública atual: `1.5.28`.
 
 ```bash
 npm install -g @semacode/cli
@@ -28,7 +28,7 @@ sema doctor
 
 Esta guía cubre el camino público actual de instalación para la CLI de Sema y la extensión de VS Code. El servidor MCP remoto es un servicio privado/comercial autorizado y no se distribuye como paquete público de npm.
 
-Versión pública actual: `1.5.26`.
+Versión pública actual: `1.5.28`.
 
 ```bash
 npm install -g @semacode/cli
@@ -58,7 +58,7 @@ sema docs-impacto --intencao "alterar projeto" --json
 Instalação de uma versão específica pelo npm:
 
 ```bash
-npm install -g @semacode/cli@1.5.26
+npm install -g @semacode/cli@1.5.28
 ```
 
 Instalação local ao projeto:
@@ -93,7 +93,7 @@ Se quiser uma tag específica, troque `main` pela versão desejada.
 
 ```bash
 npm run extensao:empacotar
-code --install-extension .tmp/editor-vscode/sema-language-tools-1.5.26.vsix --force
+code --install-extension .tmp/editor-vscode/sema-language-tools-1.5.28.vsix --force
 ```
 
 Os assets versionados da VSIX devem ser anexados manualmente a GitHub Releases quando houver release pública com binários. Se `--with-vscode` for usado antes disso, o instalador mantém a CLI instalada e apenas pula a extensão.

package/docs/persistencia-vendor-first.md

@@ -6,7 +6,7 @@
 > ES: Español al final; não traduza comandos, rotas nem sómbolos `.sema` sem contrato.
 
 
-Sema 1.5.26 trata banco como superficie semântica de primeira classe. Isso significa assumir diferenças reais entre engines e coloca-las no contrato, no semântico, na IR, no drift, no impact map, na renomeacao assistida, no `verificar` e na extensao. Nesta linha, o `drift` também materializa persistência local real em `Preferences`, `localStorage` e `sessionStorage` quando a task está ancorada no arquivo que usa essas APIs, preservando o framing IA-first da release atual.
+Sema 1.5.28 trata banco como superficie semântica de primeira classe. Isso significa assumir diferenças reais entre engines e coloca-las no contrato, no semântico, na IR, no drift, no impact map, na renomeacao assistida, no `verificar` e na extensao. Nesta linha, o `drift` também materializa persistência local real em `Preferences`, `localStorage` e `sessionStorage` quando a task está ancorada no arquivo que usa essas APIs, preservando o framing IA-first da release atual.
 
 ## Engines publicas
 

package/docs/repositories.md

@@ -0,0 +1,54 @@
+# Repository Boundary
+
+<!-- sema:i18n -->
+> EN: English first.
+> PT: Português depois.
+> ES: Español al final.
+
+## English
+
+Sema uses an open-core repository boundary.
+
+The public repository contains the semantic language, parser, public CLI, base profiles, examples, generic documentation, public tests, and the basic editor extension. It must be useful for adoption, learning, local validation, and community contribution without exposing commercial operations.
+
+The private repository contains the hosted product: commercial website, account panel, OAuth and key issuance flows, Supabase control plane, billing, production deployment, operational runbooks, private integrations, customer data, private rule packs, generated snapshots, and commercial showcases.
+
+Before any public push, release, or npm publication, run:
+
+```bash
+npm run repo:verificar-publico
+```
+
+If the check blocks a file, move it to the private repository or replace it with a public-safe example.
+
+## Português
+
+A Sema usa uma fronteira open-core entre repositórios.
+
+O repositório público contém a linguagem semântica, parser, CLI pública, profiles base, exemplos, documentação genérica, testes públicos e a extensão básica do editor. Ele precisa ser útil para adoção, aprendizado, validação local e contribuição da comunidade sem expor a operação comercial.
+
+O repositório privado contém o produto hospedado: site comercial, painel de conta, fluxos de OAuth e emissão de chaves, control plane Supabase, billing, deploy de produção, runbooks operacionais, integrações privadas, dados de clientes, rule packs privados, snapshots gerados e showcases comerciais.
+
+Antes de qualquer push público, release ou publicação npm, rode:
+
+```bash
+npm run repo:verificar-publico
+```
+
+Se o check bloquear um arquivo, mova para o repositório privado ou substitua por um exemplo seguro para o público.
+
+## Español
+
+Sema usa una frontera open-core entre repositorios.
+
+El repositorio público contiene el lenguaje semántico, parser, CLI pública, perfiles base, ejemplos, documentación genérica, pruebas públicas y la extensión básica del editor. Debe servir para adopción, aprendizaje, validación local y contribución de la comunidad sin exponer la operación comercial.
+
+El repositorio privado contiene el producto hospedado: sitio comercial, panel de cuenta, flujos de OAuth y emisión de claves, control plane Supabase, billing, despliegue de producción, runbooks operativos, integraciones privadas, datos de clientes, rule packs privados, snapshots generados y showcases comerciales.
+
+Antes de cualquier push público, release o publicación npm, ejecuta:
+
+```bash
+npm run repo:verificar-publico
+```
+
+Si el check bloquea un archivo, muévelo al repositorio privado o sustitúyelo por un ejemplo seguro para el público.

package/docs/rollback.md

@@ -25,7 +25,7 @@ npm dist-tag add @semacode/cli@<versao-boa> latest
 ```
 
 3. Se o problema for só VSIX ou asset de release, substitua o asset no GitHub Release ou publique uma release patch.
-4. Prefira publicar patch corretivo (`1.5.26`, por exemplo) quando o pacote já saiu para usuários.
+4. Prefira publicar patch corretivo (`1.5.28`, por exemplo) quando o pacote já saiu para usuários.
 
 ## Validação de rollback
 

package/docs/seguranca.md

@@ -0,0 +1,126 @@
+# Security
+
+<!-- sema:i18n -->
+> EN: English first.
+> PT: Português depois, com acentos preservados.
+> ES: Español al final.
+
+## EN
+
+The remote Sema MCP is a sensitive surface. It lets authorized agents read contracts, check drift, generate IA-first context, and operate inside allowed roots. Security depends on these controls working together:
+
+1. HTTPS on the public proxy.
+2. Commercial `sema_mcp_*` bearer key per request or OAuth authentication.
+3. `SEMA_MCP_PROJECT_ROOTS` pointing to a dedicated server root, for example `/srv/sema/projetos`.
+4. Contract-first operation before code, deploy, docs, workflow, Author text, game, legal, research, or ops actions.
+
+Do not publish the server without those controls.
+
+### Data That Must Not Leak
+
+- GitHub, npm, Supabase, SSH, or Git Credential Manager tokens.
+- Client-side `SEMA_MCP_AUTH_TOKEN` values containing `sema_mcp_*` keys.
+- `SEMA_MCP_OAUTH_SECRET`.
+- `SEMA_MCP_OAUTH_PASSCODE`.
+- Private key content.
+- `.env`, build caches, uploads, installed dependencies, or temporary snapshots with secrets.
+
+Operational runbooks may document non-secret references, such as the public domain, service name, and generic deployment role. They must never include private key bodies, private-key filenames, local key paths, non-public IPs, real server paths, or secret inventory details.
+
+### Remote Operation
+
+- Use the smallest privilege that still performs the job.
+- Do not log `Authorization` headers.
+- Do not publish `/mcp` with empty `SEMA_MCP_PROJECT_ROOTS`.
+- Keep Caddy or the reverse proxy with valid TLS.
+- Test `/mcp` without token and expect an authorization challenge.
+- Test account-scoped MCP tokens before declaring the product flow ready.
+
+### Incident
+
+If a secret appears in chat, screenshot, log, release, or Git history:
+
+1. Treat it as compromised.
+2. Rotate it at the provider.
+3. Remove it from the current file.
+4. If it reached Git, rewrite history or revoke it permanently.
+
+## PT
+
+O Sema MCP remoto é uma superfície sensível. Ele permite que agentes autorizados leiam contratos, verifiquem drift, gerem contexto IA-first e operem dentro das raízes permitidas. A segurança depende destas travas trabalhando juntas:
+
+1. HTTPS no proxy público.
+2. Autenticacao por chave comercial `sema_mcp_*` por request ou OAuth.
+3. `SEMA_MCP_PROJECT_ROOTS` apontando para uma raiz dedicada no servidor, por exemplo `/srv/sema/projetos`.
+4. Operação contract-first antes de código, deploy, docs, workflow, texto Author, jogo, jurídico, pesquisa ou ops.
+
+Não publique o servidor sem essas travas.
+
+### Dados Que Não Podem Vazar
+
+- Tokens de GitHub, npm, Supabase, SSH ou Git Credential Manager.
+- Valores locais de `SEMA_MCP_AUTH_TOKEN` contendo chaves `sema_mcp_*`.
+- `SEMA_MCP_OAUTH_SECRET`.
+- `SEMA_MCP_OAUTH_PASSCODE`.
+- Conteúdo de chave privada.
+- `.env`, caches de build, uploads, dependências instaladas ou snapshots temporários com segredo.
+
+Runbooks operacionais podem documentar referências não secretas, como domínio público, nome do serviço e papel genérico de deploy. Eles nunca devem incluir corpo de chave privada, nomes de arquivos de chave privada, caminhos locais de chave, IPs não públicos, caminhos reais de servidor ou detalhes do inventário de segredos.
+
+### Operação Remota
+
+- Use o menor privilégio que ainda executa o trabalho.
+- Não registre headers `Authorization` em logs.
+- Não publique `/mcp` com `SEMA_MCP_PROJECT_ROOTS` vazio.
+- Mantenha Caddy ou reverse proxy com TLS válido.
+- Teste `/mcp` sem token esperando desafio de autorização.
+- Teste tokens MCP por conta antes de declarar o fluxo de produto pronto.
+
+### Incidente
+
+Se um segredo aparecer em chat, print, log, release ou histórico Git:
+
+1. Considere comprometido.
+2. Rotacione no provedor de origem.
+3. Remova do arquivo atual.
+4. Se chegou ao Git, reescreva histórico ou revogue definitivamente o segredo.
+
+## ES
+
+El Sema MCP remoto es una superficie sensible. Permite que agentes autorizados lean contratos, verifiquen drift, generen contexto IA-first y operen dentro de las raíces permitidas. La seguridad depende de estos controles trabajando juntos:
+
+1. HTTPS en el proxy público.
+2. Autenticacion por clave comercial `sema_mcp_*` por request u OAuth.
+3. `SEMA_MCP_PROJECT_ROOTS` apuntando a una raíz dedicada en el servidor, por ejemplo `/srv/sema/projetos`.
+4. Operación contract-first antes de código, despliegue, docs, workflow, texto Author, juego, legal, investigación u ops.
+
+No publiques el servidor sin esos controles.
+
+### Datos Que No Deben Filtrarse
+
+- Tokens de GitHub, npm, Supabase, SSH o Git Credential Manager.
+- Valores locales de `SEMA_MCP_AUTH_TOKEN` con claves `sema_mcp_*`.
+- `SEMA_MCP_OAUTH_SECRET`.
+- `SEMA_MCP_OAUTH_PASSCODE`.
+- Contenido de llave privada.
+- `.env`, cachés de build, uploads, dependencias instaladas o snapshots temporales con secretos.
+
+Los runbooks operativos pueden documentar referencias no secretas, como dominio público, nombre del servicio y rol genérico de despliegue. Nunca deben incluir el cuerpo de la llave privada, nombres de archivos de llave privada, rutas locales de llaves, IPs no públicas, rutas reales del servidor o detalles del inventario de secretos.
+
+### Operación Remota
+
+- Usa el menor privilegio que todavía permita ejecutar el trabajo.
+- No registres headers `Authorization` en logs.
+- No publiques `/mcp` con `SEMA_MCP_PROJECT_ROOTS` vacío.
+- Mantén Caddy o el reverse proxy con TLS válido.
+- Prueba `/mcp` sin token y espera un desafío de autorización.
+- Prueba tokens MCP por cuenta antes de declarar listo el flujo de producto.
+
+### Incidente
+
+Si un secreto aparece en chat, captura, log, release o historial Git:
+
+1. Trátalo como comprometido.
+2. Rótalo en el proveedor de origen.
+3. Elimínalo del archivo actual.
+4. Si llegó a Git, reescribe el historial o revócalo definitivamente.

package/node_modules/@sema/gerador-css/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-css",
-  "version": "1.5.26",
+  "version": "1.5.28",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-dart/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-dart",
-  "version": "1.5.26",
+  "version": "1.5.28",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"

package/node_modules/@sema/gerador-html/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@sema/gerador-html",
-  "version": "1.5.26",
+  "version": "1.5.28",
   "type": "module",
   "main": "dist/index.js",
   "types": "dist/index.d.ts"