auroq-os 2.0.0 → 2.0.1
This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
|
@@ -845,34 +845,57 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
|
|
|
845
845
|
|
|
846
846
|
#### 1. 1Password — cofre cifrado (RECOMENDADO)
|
|
847
847
|
|
|
848
|
-
**O que e:** hoje tuas chaves ficam num cofre local (
|
|
848
|
+
**O que e:** hoje tuas chaves ficam num cofre local (`business/vault/`, fora do git). Funciona pra comecar. O 1Password sobe isso pra um cofre CIFRADO — mesmo que vaze, a chave fica inutil sem a senha mestra.
|
|
849
849
|
|
|
850
|
-
**Quando vale:** quando o expert ja tem credencial sensivel em uso
|
|
850
|
+
**Quando vale:** quando o expert ja tem credencial sensivel em uso (Service Key do Supabase, token de pagamento, Meta).
|
|
851
851
|
|
|
852
|
-
|
|
852
|
+
**🔒 REGRA DE OURO — INEGOCIAVEL (vale pras DUAS opcoes):**
|
|
853
|
+
- **NUNCA pedir, ver, ecoar ou colar um token/credencial no chat.** Token que aparece no chat = COMPROMETIDO (vai pro historico). Tem que ser revogado.
|
|
854
|
+
- O token vai **DIRETO no arquivo, pelo PROPRIO expert**. O Ops **prepara a linha**; o expert **cola o valor**. O Ops **nunca ve** o token.
|
|
855
|
+
- Na migracao das chaves, o Ops **NAO le os valores** do `business/vault/` pra recriar (isso jogaria a credencial no contexto). Quem move os valores e o expert.
|
|
853
856
|
|
|
854
|
-
|
|
855
|
-
|
|
856
|
-
|
|
857
|
-
|
|
858
|
-
|
|
859
|
-
|
|
860
|
-
|
|
861
|
-
|
|
862
|
-
|
|
863
|
-
|
|
864
|
-
|
|
857
|
+
---
|
|
858
|
+
|
|
859
|
+
**OPCAO A — Shell / Service Account (A MELHOR: headless, o Auroq usa sozinho)**
|
|
860
|
+
|
|
861
|
+
Requer plano **Business** (Service Accounts). O Auroq acessa as chaves automaticamente, sem biometria.
|
|
862
|
+
|
|
863
|
+
1. No painel: **my.1password.com → Developer → Service Accounts → Criar** → dar acesso **so ao vault "Claude"** → **gerar o token** (`ops_...`).
|
|
864
|
+
2. **Colocar o token no shell SEM passar pelo chat.** O Ops deixa a linha pronta no `~/.zshenv`:
|
|
865
|
+
`# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`
|
|
866
|
+
E instrui o expert a colar o valor real de um jeito que NAO ecoa na tela (rodar no terminal dele):
|
|
867
|
+
`read -s TOKEN && echo "export OP_SERVICE_ACCOUNT_TOKEN=\"$TOKEN\"" >> ~/.zshenv && unset TOKEN`
|
|
868
|
+
(cola o token, da Enter — nada aparece na tela, vai direto pro arquivo). O Ops NAO ve o valor.
|
|
869
|
+
3. Recarregar: abrir um terminal novo, ou `source ~/.zshenv`.
|
|
870
|
+
4. Testar: `op vault list` — listou os vaults = conectado.
|
|
871
|
+
|
|
872
|
+
---
|
|
873
|
+
|
|
874
|
+
**OPCAO B — App desktop + Touch ID (mais barato, porem interativo)**
|
|
875
|
+
|
|
876
|
+
Plano **Individual** (~US$5/mes, ~R$25-30). Funciona, mas exige o app desktop aberto e biometria a cada sessao (nao serve pra automacao headless).
|
|
877
|
+
|
|
878
|
+
1. Criar conta Individual (1password.com) + instalar o **app desktop** (1password.com/downloads — o programa, nao a extensao) + logar.
|
|
879
|
+
2. No app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win).
|
|
880
|
+
3. Instalar o `op` CLI (ref: developer.1password.com/docs/cli/get-started). macOS: `brew install 1password-cli`; Windows: `winget install AgileBits.1Password.CLI`. Verificar: `op --version`.
|
|
881
|
+
4. Testar: `op vault list` (pede biometria) — listou = conectado.
|
|
882
|
+
|
|
883
|
+
---
|
|
884
|
+
|
|
885
|
+
**MIGRAR AS CHAVES (sem o Ops tocar nos valores):**
|
|
886
|
+
1. Criar o vault **"Claude"** no 1Password (so o que o Auroq pode acessar; o resto fica privado).
|
|
887
|
+
2. **O EXPERT** copia cada credencial do `business/vault/*.md` e cria o item no vault "Claude" (pelo app). O Ops diz QUAIS itens criar (ex: "Supabase — Service Key", "Vercel"), mas **NAO le nem digita os valores**.
|
|
888
|
+
3. Migrado e testado → **esvaziar** `business/vault/` (deixar so um `README.md` dizendo que as chaves vivem no 1Password).
|
|
865
889
|
|
|
866
890
|
**GATE DE VERIFICACAO (BLOCKING):**
|
|
867
|
-
1. `op
|
|
868
|
-
2. `op
|
|
869
|
-
3. `
|
|
870
|
-
4. `business/vault/` nao tem mais chave em texto plano (so o README)
|
|
891
|
+
1. `op vault list` funciona (Opcao A: via token no env; Opcao B: via biometria)
|
|
892
|
+
2. `op read "op://Claude/<item>/<campo>"` retorna o valor de uma credencial migrada
|
|
893
|
+
3. `business/vault/` sem chave em texto plano (so o README)
|
|
871
894
|
→ SE qualquer um falhar: resolver antes de dizer "conectado".
|
|
872
895
|
|
|
873
|
-
**Nota honesta
|
|
896
|
+
**Nota honesta:** mesmo cifrado, na hora que o agente USA a chave ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.
|
|
874
897
|
|
|
875
|
-
→ Check: "1Password conectado, chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
|
|
898
|
+
→ Check: "1Password conectado (A: shell / B: desktop), chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
|
|
876
899
|
|
|
877
900
|
---
|
|
878
901
|
|