failproofai 0.0.6-beta.2 → 0.0.6-beta.3

package/.next/standalone/docs/pt-br/built-in-policies.mdx

@@ -1,19 +1,19 @@
 ---
 title: Políticas Integradas
-description: "Todas as 30 políticas integradas que detectam modos comuns de falha de agentes"
+description: "Todas as 30 políticas integradas que detectam falhas comuns em agentes"
 icon: shield
 ---
 
-failproofai vem com 30 políticas integradas que detectam modos comuns de falha de agentes. Cada política é acionada em um tipo específico de evento de hook e nome de ferramenta. Nove políticas aceitam parâmetros que permitem ajustar seu comportamento sem escrever código. Quatro políticas de workflow impõem um pipeline commit → push → PR → CI antes que o Claude pare.
+failproofai vem com 30 políticas integradas que detectam falhas comuns em agentes. Cada política é acionada em um tipo específico de evento de hook e nome de ferramenta. Nove políticas aceitam parâmetros que permitem ajustar seu comportamento sem escrever código. Quatro políticas de fluxo de trabalho impõem um pipeline de commit → push → PR → CI antes que Claude pare.
 
 ---
 
-## Visão geral
+## Visão Geral
 
 As políticas são agrupadas em categorias:
 
 | Categoria | Políticas | Tipo de hook |
-|----------|----------|-----------|
+|-----------|-----------|--------------|
 | [Comandos perigosos](#dangerous-commands) | block-sudo, block-rm-rf, block-curl-pipe-sh, block-failproofai-commands | PreToolUse |
 | [Segredos (sanitizadores)](#secrets-sanitizers) | sanitize-jwt, sanitize-api-keys, sanitize-connection-strings, sanitize-private-key-content, sanitize-bearer-tokens | PostToolUse |
 | [Ambiente](#environment) | block-env-files, protect-env-vars | PreToolUse |
@@ -22,7 +22,7 @@ As políticas são agrupadas em categorias:
 | [Banco de dados](#database) | warn-destructive-sql, warn-schema-alteration | PreToolUse |
 | [Avisos](#warnings) | warn-large-file-write, warn-package-publish, warn-background-process, warn-global-package-install | PreToolUse |
 | [Gerenciadores de pacotes](#package-managers) | prefer-package-manager | PreToolUse |
-| [Workflow](#workflow) | require-commit-before-stop, require-push-before-stop, require-pr-before-stop, require-ci-green-before-stop | Stop |
+| [Fluxo de trabalho](#workflow) | require-commit-before-stop, require-push-before-stop, require-pr-before-stop, require-ci-green-before-stop | Stop |
 
 - **`block-`** — impede o agente de prosseguir.
 - **`warn-`** — fornece contexto adicional ao agente para que ele possa se autocorrigir.
@@ -32,27 +32,27 @@ As políticas são agrupadas em categorias:
 ---
 
 <Tip>
-Toda política suporta um campo `hint` opcional em `policyParams`. O hint é anexado à mensagem de deny ou instruct que o Claude vê, fornecendo orientações práticas sem modificar o código da política. Funciona com políticas integradas, customizadas e de convenção. Veja [Configuração → hint](/pt-br/configuration#hint-cross-cutting) para detalhes.
+Toda política suporta um campo opcional `hint` em `policyParams`. O hint é anexado à mensagem de deny ou instruct que Claude vê, fornecendo orientação prática sem modificar o código da política. Funciona com políticas integradas, personalizadas e de convenção. Consulte [Configuração → hint](/pt-br/configuration#hint-cross-cutting) para mais detalhes.
 </Tip>
 
 ---
 
 ## Comandos perigosos
 
-Impede agentes de executar operações difíceis de desfazer ou que possam danificar o sistema host.
+Impede que agentes executem operações difíceis de desfazer ou que possam danificar o sistema host.
 
 ### `block-sudo`
 
 **Evento:** PreToolUse (Bash)  
 **Padrão:** Nega qualquer comando `sudo`.
 
-Bloqueia invocações que incluem a palavra-chave `sudo`. A correspondência de padrões é feita em tokens de comando analisados, não na string bruta, para evitar bypass por injeção de operadores shell.
+Bloqueia invocações que incluem a palavra-chave `sudo`. A correspondência de padrão é feita nos tokens de comando analisados, não na string bruta, para evitar bypass por injeção de operadores shell.
 
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `allowPatterns` | `string[]` | `[]` | Prefixos exatos de comando que são permitidos. Cada entrada é correspondida com os tokens argv analisados. |
+|-----------|------|--------|-----------|
+| `allowPatterns` | `string[]` | `[]` | Prefixos de comando exatos que são permitidos. Cada entrada é comparada com os tokens argv analisados. |
 
 **Exemplo:**
 
@@ -69,7 +69,7 @@ Bloqueia invocações que incluem a palavra-chave `sudo`. A correspondência de
 Com esta configuração, `sudo systemctl status nginx` é permitido, mas `sudo rm /etc/hosts` é negado.
 
 <Note>
-Os padrões são correspondidos com tokens analisados, não com a string de comando bruta. Isso evita bypass por meio de operadores shell anexados (ex.: `sudo systemctl status x; rm -rf /` não corresponde a `sudo systemctl status *`).
+Os padrões são comparados com os tokens analisados, não com a string de comando bruta. Isso impede bypass por meio de operadores shell anexados (ex.: `sudo systemctl status x; rm -rf /` não corresponde a `sudo systemctl status *`).
 </Note>
 
 ---
@@ -82,8 +82,8 @@ Os padrões são correspondidos com tokens analisados, não com a string de coma
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `allowPaths` | `string[]` | `[]` | Caminhos que são seguros para exclusão recursiva (ex.: `/tmp`). |
+|-----------|------|--------|-----------|
+| `allowPaths` | `string[]` | `[]` | Caminhos que podem ser excluídos recursivamente com segurança (ex.: `/tmp`). |
 
 **Exemplo:**
 
@@ -119,7 +119,7 @@ Sem parâmetros.
 
 ## Segredos (sanitizadores)
 
-Impede agentes de vazar credenciais em seu contexto ou saída. As políticas de sanitização são acionadas em eventos **PostToolUse**. Quando o Claude executa um comando Bash, lê um arquivo ou chama qualquer ferramenta, essas políticas inspecionam a saída antes de ela ser retornada ao Claude. Se um padrão de segredo for detectado, a política retorna uma decisão de deny que impede a saída de ser repassada.
+Impede que agentes vazem credenciais em seu contexto ou saída. As políticas de sanitização são acionadas em eventos **PostToolUse**. Quando Claude executa um comando Bash, lê um arquivo ou chama qualquer ferramenta, essas políticas inspecionam a saída antes de ela ser retornada a Claude. Se um padrão de segredo for detectado, a política retorna uma decisão de deny que impede que a saída seja repassada.
 
 ### `sanitize-jwt`
 
@@ -133,12 +133,12 @@ Sem parâmetros.
 ### `sanitize-api-keys`
 
 **Evento:** PostToolUse (todas as ferramentas)  
-**Padrão:** Redige formatos comuns de chave de API: Anthropic (`sk-ant-`), OpenAI (`sk-`), GitHub PATs (`ghp_`), chaves de acesso AWS (`AKIA`), chaves Stripe (`sk_live_`, `sk_test_`) e chaves Google API (`AIza`).
+**Padrão:** Redige formatos comuns de chave de API: Anthropic (`sk-ant-`), OpenAI (`sk-`), GitHub PATs (`ghp_`), chaves de acesso AWS (`AKIA`), chaves Stripe (`sk_live_`, `sk_test_`) e chaves de API do Google (`AIza`).
 
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
+|-----------|------|--------|-----------|
 | `additionalPatterns` | `{ regex: string; label: string }[]` | `[]` | Padrões regex adicionais para tratar como segredos. |
 
 **Exemplo:**
@@ -161,7 +161,7 @@ Sem parâmetros.
 ### `sanitize-connection-strings`
 
 **Evento:** PostToolUse (todas as ferramentas)  
-**Padrão:** Redige strings de conexão de banco de dados que contêm credenciais incorporadas (ex.: `postgresql://user:password@host/db`).
+**Padrão:** Redige strings de conexão de banco de dados que contêm credenciais embutidas (ex.: `postgresql://user:password@host/db`).
 
 Sem parâmetros.
 
@@ -187,14 +187,14 @@ Sem parâmetros.
 
 ## Ambiente
 
-Protege configurações sensíveis de ambiente de serem lidas ou expostas por agentes.
+Protege a configuração sensível do ambiente de ser lida ou exposta por agentes.
 
 ### `block-env-files`
 
 **Evento:** PreToolUse (Bash, Read)  
 **Padrão:** Nega a leitura de arquivos `.env` via `cat .env`, chamadas da ferramenta `Read` com `.env` como caminho do arquivo, etc.
 
-Não bloqueia `.envrc` ou outros arquivos relacionados a ambiente — apenas arquivos com o nome exato `.env`.
+Não bloqueia `.envrc` ou outros arquivos relacionados ao ambiente — apenas arquivos nomeados exatamente `.env`.
 
 Sem parâmetros.
 
@@ -221,8 +221,8 @@ Mantém os agentes trabalhando dentro dos limites do projeto e longe de arquivos
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `allowPaths` | `string[]` | `[]` | Prefixos de caminho absoluto que são permitidos mesmo que estejam fora do cwd. |
+|-----------|------|--------|-----------|
+| `allowPaths` | `string[]` | `[]` | Prefixos de caminho absoluto que são permitidos mesmo estando fora do cwd. |
 
 **Exemplo:**
 
@@ -246,8 +246,8 @@ Mantém os agentes trabalhando dentro dos limites do projeto e longe de arquivos
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `additionalPatterns` | `string[]` | `[]` | Padrões adicionais de nome de arquivo (estilo glob) para bloquear. |
+|-----------|------|--------|-----------|
+| `additionalPatterns` | `string[]` | `[]` | Padrões de nome de arquivo adicionais (estilo glob) para bloquear. |
 
 **Exemplo:**
 
@@ -275,8 +275,8 @@ Previne pushes acidentais, force-pushes e erros de branch que são difíceis de
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `protectedBranches` | `string[]` | `["main", "master"]` | Nomes de branches que não podem receber push diretamente. |
+|-----------|------|--------|-----------|
+| `protectedBranches` | `string[]` | `["main", "master"]` | Nomes de branch para os quais não é possível fazer push diretamente. |
 
 **Exemplo:**
 
@@ -291,7 +291,7 @@ Previne pushes acidentais, force-pushes e erros de branch que são difíceis de
 ```
 
 <Tip>
-Para permitir push em todos os branches (efetivamente desabilitando esta política sem removê-la de `enabledPolicies`), defina `protectedBranches: []`.
+Para permitir push em todos os branches (desativando efetivamente esta política sem removê-la de `enabledPolicies`), defina `protectedBranches: []`.
 </Tip>
 
 ---
@@ -299,13 +299,13 @@ Para permitir push em todos os branches (efetivamente desabilitando esta políti
 ### `block-work-on-main`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Nega checkout direto nos branches `main` ou `master`.
+**Padrão:** Nega o checkout direto dos branches `main` ou `master`.
 
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `protectedBranches` | `string[]` | `["main", "master"]` | Nomes de branches que não podem receber checkout diretamente. |
+|-----------|------|--------|-----------|
+| `protectedBranches` | `string[]` | `["main", "master"]` | Nomes de branch que não podem ser acessados diretamente via checkout. |
 
 ---
 
@@ -314,7 +314,7 @@ Para permitir push em todos os branches (efetivamente desabilitando esta políti
 **Evento:** PreToolUse (Bash)  
 **Padrão:** Nega `git push --force` e `git push -f`.
 
-Sem parâmetros específicos da política. Use o [`hint`](/pt-br/configuration#hint-cross-cutting) transversal para sugerir alternativas:
+Sem parâmetros específicos de política. Use o [`hint`](/pt-br/configuration#hint-cross-cutting) transversal para sugerir alternativas:
 
 ```json
 {
@@ -331,7 +331,7 @@ Sem parâmetros específicos da política. Use o [`hint`](/pt-br/configuration#h
 ### `warn-git-amend`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a prosseguir com cuidado ao executar `git commit --amend`. Não bloqueia o comando.
+**Padrão:** Instrui Claude a prosseguir com cuidado ao executar `git commit --amend`. Não bloqueia o comando.
 
 Sem parâmetros.
 
@@ -340,7 +340,7 @@ Sem parâmetros.
 ### `warn-git-stash-drop`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a confirmar antes de executar `git stash drop`. Não bloqueia o comando.
+**Padrão:** Instrui Claude a confirmar antes de executar `git stash drop`. Não bloqueia o comando.
 
 Sem parâmetros.
 
@@ -349,7 +349,7 @@ Sem parâmetros.
 ### `warn-all-files-staged`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a revisar o que está sendo adicionado ao stage ao executar `git add -A` ou `git add .`. Não bloqueia o comando.
+**Padrão:** Instrui Claude a revisar o que está sendo preparado para commit ao executar `git add -A` ou `git add .`. Não bloqueia o comando.
 
 Sem parâmetros.
 
@@ -357,12 +357,12 @@ Sem parâmetros.
 
 ## Banco de dados
 
-Detecta operações SQL destrutivas antes que sejam executadas no seu banco de dados.
+Detecta operações SQL destrutivas antes que sejam executadas no banco de dados.
 
 ### `warn-destructive-sql`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a confirmar antes de executar SQL contendo `DROP TABLE`, `DROP DATABASE` ou `DELETE` sem uma cláusula `WHERE`.
+**Padrão:** Instrui Claude a confirmar antes de executar SQL contendo `DROP TABLE`, `DROP DATABASE` ou `DELETE` sem uma cláusula `WHERE`.
 
 Sem parâmetros.
 
@@ -371,7 +371,7 @@ Sem parâmetros.
 ### `warn-schema-alteration`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a confirmar antes de executar instruções `ALTER TABLE`.
+**Padrão:** Instrui Claude a confirmar antes de executar instruções `ALTER TABLE`.
 
 Sem parâmetros.
 
@@ -384,12 +384,12 @@ Fornece contexto extra aos agentes antes de operações potencialmente arriscada
 ### `warn-large-file-write`
 
 **Evento:** PreToolUse (Write)  
-**Padrão:** Instrui o Claude a confirmar antes de gravar arquivos maiores que 1024 KB.
+**Padrão:** Instrui Claude a confirmar antes de gravar arquivos maiores que 1024 KB.
 
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
+|-----------|------|--------|-----------|
 | `thresholdKb` | `number` | `1024` | Limite de tamanho de arquivo em kilobytes acima do qual um aviso é emitido. |
 
 **Exemplo:**
@@ -405,7 +405,7 @@ Fornece contexto extra aos agentes antes de operações potencialmente arriscada
 ```
 
 <Note>
-O handler do hook impõe um limite de 1 MB de stdin em payloads. Para testar esta política com conteúdo pequeno, defina `thresholdKb` para um valor bem abaixo de 1024.
+O handler do hook impõe um limite de 1 MB no stdin para payloads. Para testar esta política com conteúdo pequeno, defina `thresholdKb` com um valor bem abaixo de 1024.
 </Note>
 
 ---
@@ -413,7 +413,7 @@ O handler do hook impõe um limite de 1 MB de stdin em payloads. Para testar est
 ### `warn-package-publish`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a confirmar antes de executar `npm publish`.
+**Padrão:** Instrui Claude a confirmar antes de executar `npm publish`.
 
 Sem parâmetros.
 
@@ -422,7 +422,7 @@ Sem parâmetros.
 ### `warn-background-process`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a ter cuidado ao iniciar processos em segundo plano via `nohup`, `&`, `disown` ou `screen`.
+**Padrão:** Instrui Claude a ter cuidado ao iniciar processos em segundo plano via `nohup`, `&`, `disown` ou `screen`.
 
 Sem parâmetros.
 
@@ -431,7 +431,7 @@ Sem parâmetros.
 ### `warn-global-package-install`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Instrui o Claude a confirmar antes de executar `npm install -g`, `yarn global add` ou `pip install` sem um ambiente virtual.
+**Padrão:** Instrui Claude a confirmar antes de executar `npm install -g`, `yarn global add` ou `pip install` sem um ambiente virtual.
 
 Sem parâmetros.
 
@@ -439,21 +439,21 @@ Sem parâmetros.
 
 ## Gerenciadores de pacotes
 
-Impõe quais gerenciadores de pacotes o agente tem permissão de usar.
+Impõe quais gerenciadores de pacotes o agente pode usar.
 
 ### `prefer-package-manager`
 
 **Evento:** PreToolUse (Bash)  
-**Padrão:** Desabilitado. Quando habilitado, bloqueia qualquer comando de gerenciador de pacotes que não esteja na lista `allowed` e diz ao Claude para reescrever o comando usando um gerenciador permitido.
+**Padrão:** Desabilitado. Quando habilitado, bloqueia qualquer comando de gerenciador de pacotes que não esteja na lista `allowed` e instrui Claude a reescrever o comando usando um gerenciador permitido.
 
 Detecta: pip, pip3, python -m pip, npm, npx, yarn, pnpm, pnpx, bun, bunx, uv, poetry, pipenv, conda, cargo.
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-----------|------|---------|-------------|
-| `allowed` | string[] | `[]` | Nomes de gerenciadores de pacotes permitidos. Qualquer gerenciador detectado que não esteja nesta lista é bloqueado. Quando vazio, a política não faz nada. |
-| `blocked` | string[] | `[]` | Nomes de gerenciadores adicionais para bloquear além da lista integrada (ex.: `['pdm', 'pipx']`). |
+|-----------|------|--------|-----------|
+| `allowed` | string[] | `[]` | Nomes de gerenciadores de pacotes permitidos. Qualquer gerenciador detectado que não esteja nesta lista é bloqueado. Quando vazia, a política não faz nada. |
+| `blocked` | string[] | `[]` | Nomes adicionais de gerenciadores a bloquear além da lista integrada (ex.: `['pdm', 'pipx']`). |
 
-A lista de bloqueio integrada cobre: pip, pip3, npm, npx, yarn, pnpm, pnpx, bun, bunx, uv, poetry, pipenv, conda, cargo. Use `blocked` para adicionar gerenciadores que não estão nesta lista.
+A lista de bloqueio integrada abrange: pip, pip3, npm, npx, yarn, pnpm, pnpx, bun, bunx, uv, poetry, pipenv, conda, cargo. Use `blocked` para adicionar gerenciadores que não estão nesta lista.
 
 **Exemplo de configuração:**
 
@@ -469,33 +469,33 @@ A lista de bloqueio integrada cobre: pip, pip3, npm, npx, yarn, pnpm, pnpx, bun,
 }
 ```
 
-Com esta configuração, `pip install flask` e `pdm install flask` são ambos negados com uma mensagem dizendo ao Claude para usar `uv` ou `bun` em vez disso. Comandos como `uv pip install flask` são permitidos porque `uv` está na lista de permitidos e é verificado primeiro.
+Com esta configuração, `pip install flask` e `pdm install flask` são ambos negados com uma mensagem instruindo Claude a usar `uv` ou `bun`. Comandos como `uv pip install flask` são permitidos porque `uv` está na lista de permissões e é verificado primeiro.
 
 ---
 
 ## Comportamento de IA
 
-Detecta quando agentes ficam presos ou se comportam de forma inesperada.
+Detecta quando agentes ficam travados ou se comportam de forma inesperada.
 
 ### `warn-repeated-tool-calls`
 
 **Evento:** PreToolUse (todas as ferramentas)  
-**Padrão:** Instrui o Claude a reconsiderar quando a mesma ferramenta é chamada 3 ou mais vezes com parâmetros idênticos — um sinal comum de que o agente está preso em um loop.
+**Padrão:** Instrui Claude a reconsiderar quando a mesma ferramenta é chamada 3 ou mais vezes com parâmetros idênticos — um sinal comum de que o agente está preso em um loop.
 
 Sem parâmetros.
 
 ---
 
-## Workflow
+## Fluxo de trabalho
 
-Impõe um workflow disciplinado de fim de sessão. Essas políticas são acionadas no evento **Stop** e impedem o Claude de parar até que cada condição seja atendida. Elas seguem uma cadeia de dependência natural: commit → push → PR → CI. Se uma política negar, as políticas posteriores na cadeia são ignoradas (deny causa curto-circuito).
+Impõe um fluxo de trabalho disciplinado ao final da sessão. Essas políticas são acionadas no evento **Stop** e impedem Claude de parar até que cada condição seja atendida. Elas seguem uma cadeia de dependência natural: commit → push → PR → CI. Se uma política negar, as políticas subsequentes na cadeia são ignoradas (deny provoca curto-circuito).
 
-Todas as políticas de workflow são **fail-open**: se a ferramenta necessária não estiver disponível (ex.: `gh` não instalado, sem remote git), a política permite com uma mensagem informativa explicando por que a verificação foi ignorada.
+Todas as políticas de fluxo de trabalho são **fail-open**: se a ferramenta necessária não estiver disponível (ex.: `gh` não instalado, sem remote git), a política permite com uma mensagem informativa explicando por que a verificação foi ignorada.
 
 ### `require-commit-before-stop`
 
 **Evento:** Stop  
-**Padrão:** Nega a parada quando há alterações não commitadas (arquivos modificados, em stage ou não rastreados). Retorna uma mensagem informativa quando o diretório de trabalho está limpo.
+**Padrão:** Nega a parada quando há alterações não commitadas (arquivos modificados, preparados ou não rastreados). Retorna uma mensagem informativa quando o diretório de trabalho está limpo.
 
 Sem parâmetros.
 
@@ -504,13 +504,13 @@ Sem parâmetros.
 ### `require-push-before-stop`
 
 **Evento:** Stop  
-**Padrão:** Nega a parada quando há commits não enviados por push ou quando o branch atual não tem um branch de rastreamento remoto. Sugere `git push -u` para criar um branch de rastreamento se necessário. Falha de forma aberta se nenhum remote estiver configurado.
+**Padrão:** Nega a parada quando há commits não enviados ou quando o branch atual não possui um branch de rastreamento remoto. Sugere `git push -u` para criar um branch de rastreamento se necessário. Fail-open se nenhum remote estiver configurado.
 
 **Parâmetros:**
 
 | Parâmetro | Tipo | Padrão | Descrição |
-|-------|------|---------|-------------|
-| `remote` | `string` | `"origin"` | Nome do remote para o qual fazer push. |
+|-----------|------|--------|-----------|
+| `remote` | `string` | `"origin"` | Nome do remote para onde fazer push. |
 
 **Exemplo:**
 
@@ -529,14 +529,14 @@ Sem parâmetros.
 ### `require-pr-before-stop`
 
 **Evento:** Stop  
-**Padrão:** Nega a parada quando não existe nenhum pull request para o branch atual, ou quando o PR existente está fechado/mesclado. Instrui o Claude a criar um PR com `gh pr create`.
+**Padrão:** Nega a parada quando não existe pull request para o branch atual, ou quando o PR existente está fechado/mergeado. Instrui Claude a criar um PR com `gh pr create`.
 
 Sem parâmetros.
 
 <Note>
 Esta política requer que o [GitHub CLI](https://cli.github.com/) (`gh`) esteja instalado e autenticado.
-Execute `gh auth login` com um personal access token que tenha o escopo `repo` para acesso de leitura a
-pull requests. Se `gh` não estiver instalado ou autenticado, a política falha de forma aberta e informa o motivo ao Claude.
+Execute `gh auth login` com um token de acesso pessoal que tenha escopo `repo` para acesso de leitura a
+pull requests. Se `gh` não estiver instalado ou autenticado, a política falha de forma aberta (fail-open) e reporta o motivo a Claude.
 </Note>
 
 ---
@@ -544,14 +544,14 @@ pull requests. Se `gh` não estiver instalado ou autenticado, a política falha
 ### `require-ci-green-before-stop`
 
 **Evento:** Stop  
-**Padrão:** Nega a parada quando verificações de CI estão falhando ou ainda em execução no branch atual. Verifica tanto execuções de workflow do GitHub Actions quanto verificações de bots de terceiros (ex.: CodeRabbit, SonarCloud, Codecov). Trata conclusões `skipped` como sucesso. Retorna uma mensagem informativa quando todas as verificações passam.
+**Padrão:** Nega a parada quando as verificações de CI estão falhando ou ainda em execução no branch atual. Verifica tanto execuções de workflows do GitHub Actions quanto verificações de bots de terceiros (ex.: CodeRabbit, SonarCloud, Codecov). Trata conclusões `skipped` e `cancelled` como sucesso. Retorna uma mensagem informativa quando todas as verificações passam.
 
 Sem parâmetros.
 
 <Note>
 Esta política requer que o [GitHub CLI](https://cli.github.com/) (`gh`) esteja instalado e autenticado.
-Execute `gh auth login` com um personal access token que tenha o escopo `repo` para acesso de leitura a
-execuções de workflow do Actions e à API de Checks. Se `gh` não estiver instalado ou autenticado, a política falha de forma aberta e informa o motivo ao Claude.
+Execute `gh auth login` com um token de acesso pessoal que tenha escopo `repo` para acesso de leitura a
+execuções de workflows do Actions e à API de Checks. Se `gh` não estiver instalado ou autenticado, a política falha de forma aberta (fail-open) e reporta o motivo a Claude.
 </Note>
 
 ---
@@ -560,7 +560,7 @@ execuções de workflow do Actions e à API de Checks. Se `gh` não estiver inst
 
 ## Desabilitando políticas individuais
 
-Remova uma política específica de `enabledPolicies` na sua configuração, ou desative-a na aba Policies do dashboard.
+Remova uma política específica de `enabledPolicies` na sua configuração, ou desative-a na aba Políticas do painel.
 
 ```json
 {