forlogic-core 2.1.5 → 2.2.0

package/docs/STORAGE_BUCKETS.md

@@ -0,0 +1,384 @@
+# Supabase Storage — Inventário e mapa de consumidores
+
+> **Projeto Supabase:** `ccjfvpnndclajkleyqkc` (qualiex-db, prod)  
+> **Snapshot:** 2026-04-21  
+> **Objetivo:** mapear todos os buckets, quem os consome, suas RLS atuais e os riscos para guiar o próximo ciclo de hardening.  
+> **Escopo:** apenas documentação — nenhuma policy, bucket ou código foi alterado.
+
+---
+
+## 1. Visão geral
+
+15 buckets ativos. Tamanho total ≈ 320 GB (dominado por `content-videos`).
+
+| # | Bucket | Público | Objetos | Tamanho | MIME limit | File size limit |
+|---|---|---|---:|---:|---|---|
+| 1 | `career-banners` | ✅ | 4 | 349 kB | — | — |
+| 2 | `certificates` | ✅ | 2.270 | 929 MB | — | — |
+| 3 | `content-files` | ✅ | 5.180 | 2,3 GB | lista ampla | 2 GB |
+| 4 | `content-videos` | ✅ | 1.856 | 317 GB | só vídeo | 3 GB |
+| 5 | `contracts` | 🔒 | 151 | 47 MB | — | — |
+| 6 | `imports` | 🔒 | 3 | 569 kB | — | — |
+| 7 | `knowledge-files` | 🔒 | 8 | 24 MB | — | — |
+| 8 | `library-assets` | ✅ | 10 | 105 kB | — | — |
+| 9 | `performance` | ✅ | 22 | 7 MB | — | — |
+| 10 | `performance-files` | ✅ | 33 | 6 MB | — | — |
+| 11 | `resumes` | 🔒 | 715 | 156 MB | — | — |
+| 12 | `thumbnails` | ✅ | 1.109 | 564 MB | — | — |
+| 13 | `trainings` | 🔒 | 10 | 10 MB | — | — |
+| 14 | `university-assets` | ✅ | 272 | 300 MB | — | — |
+| 15 | `user-uploads` | 🔒 | 986 | 1,4 GB | — | — |
+
+> ℹ️ A coluna **Público** indica `storage.buckets.public`. Buckets públicos liberam download anônimo via `/storage/v1/object/public/<bucket>/<path>` e, sem policy explícita, também permitem `LIST` anônimo.
+
+---
+
+## 2. Matriz Bucket × Projeto
+
+Projetos do ecossistema (Lovable):
+
+- [Admin / Configurações Core](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `qualiex-admin` (este; lib `forlogic-core`)
+- [Documentos](/projects/196d59d6-6e5c-4e49-b064-a24e57874298)
+- [Configurações](/projects/b0970ba3-5c2a-4b7d-8d3b-5b2162b2d285)
+- [OKR](/projects/53776a8a-ab33-494d-8b92-74341fd3d133)
+- [Cockpit](/projects/e6853fb4-67f9-4776-b427-7768a9136f10)
+- [Plano de Controle](/projects/d4712bc3-bc32-40a6-874c-401cf773c55c)
+- [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654)
+- [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6)
+- [Matriz de Foco](/projects/e0a4fc74-f1c6-4466-8a9c-dcb31f03fb20)
+- [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304)
+- [Competências](/projects/ffc892d4-d7b4-46cd-883d-01ffeb99b2f4)
+- [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
+- [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
+- [Pulso](/projects/f49c7856-0bf8-4aa7-be0b-a6c5c5bf3ca1)
+
+| Bucket | Admin | Educação | Colaboradores | Treinamentos | Matriz Foco | PDI | Desempenho | Cockpit | Documentos |
+|---|:-:|:-:|:-:|:-:|:-:|:-:|:-:|:-:|:-:|
+| `library-assets` | ✅ | | | | | | | | |
+| `imports` | ✅ | | | | | | | | |
+| `thumbnails` | | ✅ | | | | | | | |
+| `university-assets` | | ✅ | | | | | | | |
+| `certificates` | | ✅ | | 🔎 read | | | | | |
+| `content-files` | | ✅ | | | | | | | |
+| `content-videos` | | ✅ | | | | | | | |
+| `career-banners` | | | ✅ | | | | | | |
+| `resumes` | | | ✅ | | | | | (policy) | |
+| `contracts` | | | ✅ | | | | | | |
+| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | ✅ (evidences) | ❓ | | |
+| `trainings` | | | | ✅ | | | | | |
+| `performance` | | | | | | | ✅ (1:1) | | |
+| `performance-files` | | | | | | | ⚠️ órfão | | |
+| `knowledge-files` | | | | | | | | | ❓ |
+
+Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS mas sem código consumidor encontrado · ❓ a confirmar com o time.
+
+---
+
+## 3. Detalhamento por bucket
+
+### 3.1 `library-assets` — 🚨 prioridade alta
+
+- **Finalidade:** logos, favicons e marca branca da lib (Qualiex / Saber).
+- **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `lib/assets/index.ts`, `lib/setup/favicon.ts`. Consumido como leitura pública por todos os projetos via URL pública.
+- **Estrutura:** raiz do bucket (`logo-qualiex-white.svg`, `favicon.png`, etc.).
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `Allow public upload to library assets` — **INSERT para role `public` sem qualquer condição de auth**.
+- **Riscos:**
+  - 🔴 Qualquer pessoa anônima pode subir arquivos (defacement, hospedagem indevida, custo).
+  - 🟡 `LIST` anônimo (default de bucket público) expõe inventário, mas como são logos é baixo impacto.
+- **Recomendação:** restringir `INSERT` a `authenticated` + role admin. Avaliar mover para um bucket `brand-assets` privado com signed URLs ou simplesmente versionar os SVGs no repo da lib.
+
+---
+
+### 3.2 `imports` — ok, com ressalvas
+
+- **Finalidade:** arquivos Excel/CSV submetidos pelo wizard de importação.
+- **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `src/imports/wizard/services/importJobService.ts`.
+- **Estrutura:** `{alias}/{timestamp}_{filename}`.
+- **Visibilidade:** privado.
+- **RLS atuais:** SELECT/INSERT/UPDATE/DELETE escopados por `authenticated` + `(storage.foldername(name))[1] = jwt.alias`.
+- **Riscos:**
+  - 🟡 Policies estão atribuídas ao role `public`, mas com `auth.role() = 'authenticated'` no body — funcional, mas inconsistente com o padrão `TO authenticated`.
+- **Recomendação:** converter as policies para `TO authenticated` (mais explícito e linter-friendly).
+
+---
+
+### 3.3 `thumbnails` — 🚨 prioridade alta
+
+- **Finalidade:** miniaturas/capas de cursos e conteúdos.
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useImageUpload.ts` (default bucket).
+- **Estrutura:** `thumbnails/{filename}` (sem segregação por alias).
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `Users can upload thumbnails` — **INSERT para `public` sem auth**.
+  - `Authenticated users can update/delete thumbnails` — UPDATE/DELETE só `authenticated`, mas sem scoping por alias.
+- **Riscos:**
+  - 🔴 INSERT anônimo permite upload sem login.
+  - 🟠 Sem segregação por `alias`: um tenant autenticado pode atualizar/deletar miniaturas de outro tenant.
+  - 🟡 `LIST` público.
+- **Recomendação:** trocar `Users can upload thumbnails` por uma policy `TO authenticated` com scoping `(storage.foldername(name))[1] = jwt.alias`. Aplicar o mesmo scoping em UPDATE/DELETE.
+
+---
+
+### 3.4 `university-assets` — média
+
+- **Finalidade:** imagens da plataforma de cursos (banners, ilustrações, IA-docs).
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useImageUpload.ts`, `src/modules/contents/services/aiDocsService.ts`.
+- **Estrutura:** `{alias}/...` em parte das chamadas (não obrigatório).
+- **Visibilidade:** público.
+- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated` exigindo `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+- **Riscos:**
+  - 🟠 Qualquer usuário autenticado de qualquer tenant pode sobrescrever/excluir arquivos de qualquer outro tenant.
+  - 🟡 `LIST` público.
+- **Recomendação:** adicionar scoping `(storage.foldername(name))[1] = jwt.alias` no INSERT/UPDATE/DELETE.
+
+---
+
+### 3.5 `certificates` — média
+
+- **Finalidade:** PDFs/imagens de certificados emitidos para alunos.
+- **Consumidores:**
+  - [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useUserCertificateUpload.ts`, `src/hooks/useBulkCertificateUpload.ts` (uploads usam **signed URLs** com TTL 1 ano).
+  - [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `src/training/utils/evidenceUrlResolver.ts` (leitura via `getPublicUrl`).
+- **Estrutura:** sem padrão por alias (arquivos no root).
+- **Visibilidade:** público (mesmo o código gerando signed URLs — ou seja, a privacidade pretendida não é real).
+- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated`. Sem scoping por alias. SELECT público (bucket público).
+- **Riscos:**
+  - 🔴 Certificados são **PII** (nome do aluno, curso, datas). Bucket público + sem scoping = qualquer URL adivinhada/descoberta vaza dados pessoais.
+  - 🟠 `LIST` anônimo expõe inventário com nomes de arquivo.
+- **Recomendação:** **tornar privado** e migrar Treinamentos para usar signed URLs (já é o padrão de Educação). Adicionar scoping por alias.
+
+---
+
+### 3.6 `content-files` — média/alta
+
+- **Finalidade:** materiais de cursos (apostilas, planilhas, pacotes SCORM).
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useFileUpload.ts`, `docs/SCORM_IMPLEMENTATION.md`.
+- **Estrutura:** `{packageFolder}/...` (SCORM); demais sem padrão claro.
+- **Visibilidade:** público.
+- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated`. Sem scoping por alias.
+- **Riscos:**
+  - 🟠 Materiais de treinamento de um cliente podem estar acessíveis publicamente para quem tiver a URL/listar o bucket.
+  - 🟡 `LIST` público.
+- **Recomendação:** scoping por `alias` e avaliar deixar privado com signed URLs (impacta player de cursos — exige mudança no front).
+
+---
+
+### 3.7 `content-videos` — ok (mais maduro)
+
+- **Finalidade:** vídeos das aulas de Educação.
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/contexts/UploadQueueContext.tsx`, `src/modules/contents/hooks/useVideoUpload.ts`.
+- **Estrutura:** `{alias}/{filename}`.
+- **Visibilidade:** público.
+- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated` com **scoping por alias** (`(storage.foldername(name))[1] = jwt.alias`). SELECT público.
+- **Riscos:**
+  - 🟠 Vídeos premium acessíveis por URL pública direta.
+  - 🟡 `LIST` público (alto volume — 317 GB).
+- **Recomendação:** considerar privado + signed URLs (igual a Vimeo/Mux). Custo: rever player e CDN.
+
+---
+
+### 3.8 `career-banners` — baixa
+
+- **Finalidade:** banners da página pública de carreiras.
+- **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654).
+- **Estrutura:** raiz.
+- **Visibilidade:** público.
+- **RLS atuais:** INSERT/DELETE só `authenticated`. SELECT público (esperado).
+- **Riscos:**
+  - 🟡 Sem scoping por alias — qualquer admin de qualquer tenant pode deletar banners de outro.
+- **Recomendação:** scoping por alias se houver mais de um cliente usando.
+
+---
+
+### 3.9 `resumes` — média
+
+- **Finalidade:** currículos de candidatos (RH).
+- **Consumidores:**
+  - [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — fluxo de RH.
+  - [Cockpit](/projects/e6853fb4-67f9-4776-b427-7768a9136f10) — migração `20260330141432` cria policy escopada por `auth.uid()`.
+- **Estrutura:** `{alias}/{filename}` (Colaboradores) e `{auth.uid()}/...` (Cockpit) — **dois esquemas convivendo**.
+- **Visibilidade:** privado.
+- **RLS atuais:**
+  - `resumes_alias_select`, `resumes_auth_upload` — escopados por `jwt.alias`, exigem extensões `pdf|doc|docx|jpg|jpeg|png`.
+- **Riscos:**
+  - 🟠 Há duas convenções de path conflitantes (alias vs uid). Pode haver arquivos "órfãos" que não casam com nenhuma policy.
+  - 🟠 Não há policy explícita de UPDATE/DELETE listada.
+- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE.
+
+---
+
+### 3.10 `contracts` — ok
+
+- **Finalidade:** templates DOCX e contratos gerados.
+- **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — `src/contracts/contractService.ts`, edge function `contract-processor`.
+- **Estrutura:** `{templates|generated}/{alias}/{filename}`.
+- **Visibilidade:** privado.
+- **RLS atuais:** SELECT/INSERT/UPDATE/DELETE escopados por pasta + alias.
+- **Riscos:**
+  - 🟢 Bem segregado.
+  - 🟡 Policies estão em role `public` com `auth.role() = 'authenticated'` implícito via `jwt`. Funcional mas inconsistente.
+- **Recomendação:** padronizar para `TO authenticated`.
+
+---
+
+### 3.11 `user-uploads` — 🚨 alta complexidade
+
+Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colaboradores, Treinamentos, Matriz de Foco, PDI).
+
+- **Visibilidade:** privado.
+- **Estrutura por consumidor:**
+
+  | Subpasta raiz | Projeto | Uso |
+  |---|---|---|
+  | `interviews/{alias}/...` | Colaboradores | Áudios/anexos de entrevistas |
+  | `training-requests/{alias}/...` | Treinamentos | Anexos de solicitações de treinamento |
+  | `imported-evidence/{alias}/...` | Treinamentos | Evidências importadas em massa |
+  | `trainings/.../{alias}/...` | Treinamentos | Evidências de treinamento (alias na 3ª pasta) |
+  | `evidence-images/...` | Matriz de Foco | Imagens coladas no rich-text editor |
+  | `evidence-attachments/{evidenceId}/...` | Matriz de Foco | Anexos de evidências |
+  | `evidences/...` | PDI | Anexos de planos de ação |
+
+- **RLS atuais:**
+  - `interview_scoped_select` — SELECT escopado.
+  - `training_requests_attachments_select/insert/delete` — escopados.
+  - `imported_evidence_select/insert` — escopados.
+  - `trainings_bucket_*` — escopados (mas no bucket `trainings`, não no `user-uploads`).
+  - `Authenticated users can update user-uploads` — **UPDATE genérico para qualquer authenticated, sem scoping**.
+  - `authenticated_interview_upload` — INSERT genérico no bucket sem scoping (legado da Matriz de Foco antes da migração `20260328223532`).
+  - **Não vejo policies SELECT/INSERT explícitas para `evidence-images/`, `evidence-attachments/` e `evidences/`** — provavelmente estão dependendo da policy genérica `authenticated` existente em outra migração.
+
+- **Riscos:**
+  - 🔴 UPDATE genérico permite que qualquer authenticated sobrescreva arquivos de outros tenants e outros projetos.
+  - 🔴 Sem policies específicas para Matriz de Foco / PDI, a leitura/insert pode estar usando uma policy genérica `authenticated_select/insert` (precisa verificar) — se sim, **vazamento cross-tenant**.
+  - 🟠 Padrão de path inconsistente entre projetos (uns usam alias na 1ª pasta, outros na 3ª, outros não usam).
+
+- **Recomendação:**
+  - Padronizar para `{projeto}/{alias}/...`.
+  - Substituir UPDATE genérico por policies por subpasta + alias.
+  - Auditar e adicionar policies específicas para `evidence-images`, `evidence-attachments`, `evidences`.
+
+---
+
+### 3.12 `trainings` — ok
+
+- **Finalidade:** evidências de treinamentos (PDFs, fotos).
+- **Consumidor:** [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `LeaderResolveModal`, `LeaderPendingSelectModal`.
+- **Estrutura:** `.../.../{alias}/...` (alias na 3ª pasta — esquisito).
+- **Visibilidade:** privado.
+- **RLS atuais:** SELECT/INSERT escopados por `(storage.foldername(name))[2] = jwt.alias`.
+- **Riscos:**
+  - 🟡 Discrepância: a policy usa pasta `[2]`, mas o resolver de evidências em `evidenceUrlResolver.ts` aceita o bucket. Validar se o path real bate.
+  - 🟠 Sem policy explícita de UPDATE/DELETE.
+- **Recomendação:** confirmar convenção de path e adicionar UPDATE/DELETE escopados.
+
+---
+
+### 3.13 `performance` — média/alta
+
+- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios de tarefa.
+- **Consumidor:** [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
+  - `src/one-on-ones/services/evidenceService.ts` → pasta `evidences/`
+  - `src/one-on-ones/services/taskReportService.ts` → pasta `task-reports/`
+  - Ambos usam `getPublicUrl` (ou seja, dependem do bucket ser público para servir os arquivos).
+- **Estrutura real:** `evidences/...` e `task-reports/...` no root (sem segregação por `alias` ou `auth.uid()`).
+- **Visibilidade:** público.
+- **RLS atuais:** apenas `performance_authenticated_insert` (INSERT escopado por `(storage.foldername(name))[1] = jwt.alias`). **Sem SELECT/UPDATE/DELETE explícitos** — caem no default do bucket público.
+- **Riscos:**
+  - 🔴 Policy de INSERT exige alias na 1ª pasta, mas o **código grava em `evidences/{file}` e `task-reports/{file}`** — ou seja, a policy **não bate com o path real** e o INSERT só funciona porque… provavelmente está funcionando via outra policy genérica ou os arquivos foram criados antes da policy. Precisa investigar (22 objetos, último em 20/04).
+  - 🔴 Bucket público + sem segregação por tenant = qualquer URL adivinhada vaza evidências de qualquer cliente.
+  - 🟠 `LIST` anônimo expõe inventário.
+- **Recomendação:**
+  1. Realinhar o código para `{alias}/evidences/...` e `{alias}/task-reports/...` (ou alterar a policy para casar com o path atual).
+  2. Tornar privado e migrar o front para signed URLs.
+  3. Adicionar SELECT/UPDATE/DELETE escopados por alias + autor.
+
+---
+
+### 3.14 `performance-files` — ⚠️ órfão (candidato a deprecar)
+
+- **Origem:** criado pela migração `20260203114103_ffecc964-7e28-4605-8516-b851f62d0433.sql` no projeto Desempenho ("bucket dedicado para o módulo de desempenho").
+- **Consumidor atual:** **nenhum** — busca em todo o projeto Desempenho (e nos demais 13 projetos do ecossistema) não encontra nenhuma referência ao nome `performance-files` fora da própria migração. Os 33 objetos existentes parecem ser de testes manuais ou de uma implementação anterior que foi substituída por `performance`.
+- **Estrutura:** `{auth.uid()}/...` (assumido pela policy de DELETE).
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `performance_files_public_read` — SELECT para `public` sem condição.
+  - `performance_files_authenticated_insert` — INSERT só `authenticated`, sem scoping por alias.
+  - `performance_files_owner_delete` — DELETE só pelo dono via `auth.uid()`.
+- **Riscos:**
+  - 🟠 Bucket sem código consumidor: nenhum hardening é prioridade, mas mantê-lo aberto é superfície de ataque desnecessária.
+  - 🔴 Bucket público + INSERT sem scoping por alias = qualquer authenticated pode poluir o bucket.
+- **Recomendação:** **deprecar**. Backup dos 33 objetos atuais, migrar (se algum for relevante) para `performance`, depois remover o bucket. Confirmar com o time de Desempenho antes de deletar.
+
+---
+
+### 3.15 `knowledge-files` — ❓ a confirmar
+
+- **Finalidade provável:** base de conhecimento para IA / chatbot.
+- **Consumidor:** sem uso direto encontrado em nenhum dos 14 projetos. 8 objetos, último em março/2026.
+- **Estrutura:** `{alias}/...`.
+- **Visibilidade:** privado.
+- **RLS atuais:** SELECT/INSERT escopados por `authenticated` + alias.
+- **Riscos:**
+  - 🟡 Sem UPDATE/DELETE explícitos.
+  - 🟡 Provavelmente consumido por uma edge function (não por front) — confirmar.
+- **Recomendação:** identificar consumidor e validar fluxo antes de mexer.
+
+---
+
+## 4. Padrões de policies (síntese)
+
+Boas práticas observadas no projeto:
+
+| Padrão | Onde aparece | Recomendar generalizar |
+|---|---|---|
+| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes | ✅ sim — virar padrão |
+| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes | ✅ sim — converter as policies em role `public` |
+| `(SELECT auth.jwt())` (e não `auth.jwt()`) | a maioria das policies novas | ✅ obrigatório (linter) |
+| Bucket privado + signed URLs | certificates (Educação), contracts | ✅ aplicar a thumbnails, content-files, content-videos |
+
+---
+
+## 5. Itens em aberto (a confirmar com o time)
+
+1. **`knowledge-files`**: quem consome? É edge function?
+2. **`performance-files`**: confirmar com o time de Desempenho que pode ser deprecado (não há código consumidor; 33 objetos de origem desconhecida).
+3. **`performance`**: alinhar path do código (`evidences/`, `task-reports/`) com a policy (que exige alias na 1ª pasta) — atualmente são incompatíveis.
+4. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
+5. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
+6. **`user-uploads` para Matriz de Foco e PDI**: existem policies dedicadas ou tudo cai numa policy genérica `authenticated`?
+
+---
+
+## 6. Próximos passos sugeridos (priorizados)
+
+> Cada item é uma migração isolada — abrir uma issue/PR separada por bucket.
+
+| Prioridade | Bucket | Ação |
+|---|---|---|
+| 🔴 P0 | `library-assets` | Remover `Allow public upload to library assets` (INSERT anônimo). |
+| 🔴 P0 | `thumbnails` | Trocar `Users can upload thumbnails` por policy `TO authenticated` + scoping por alias. |
+| 🔴 P0 | `user-uploads` | Substituir UPDATE genérico por policies por subpasta + alias; auditar Matriz de Foco e PDI. |
+| 🔴 P0 | `certificates` | Tornar privado + migrar Treinamentos para signed URLs. |
+| 🟠 P1 | `university-assets`, `content-files` | Adicionar scoping por alias em UPDATE/DELETE/INSERT. |
+| 🔴 P0 | `performance` | Realinhar path do código (`evidences/`, `task-reports/`) com a policy de INSERT (que exige `{alias}/...`); tornar privado; adicionar SELECT escopado. |
+| 🟠 P1 | `performance-files` | Deprecar bucket — nenhum código consumidor encontrado; backup dos 33 objetos e remover. |
+| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid) e adicionar UPDATE/DELETE. |
+| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza, sem mudança funcional). |
+| 🟡 P2 | `career-banners` | Scoping por alias se for multi-tenant. |
+| 🟡 P2 | `content-videos` | Avaliar privado + signed URLs (impacto no player). |
+| 🟡 P2 | Todos públicos | Substituir SELECT default por SELECT `TO authenticated` (ou `TO public` apenas para os realmente públicos como `library-assets` e `career-banners`) — alinha com plano já existente em [Cockpit `.lovable/plan.md`](/projects/e6853fb4-67f9-4776-b427-7768a9136f10). |
+
+---
+
+## 7. Como manter este documento
+
+- Atualizar a cada migração que toque `storage.objects` ou `storage.buckets`.
+- Refresh trimestral dos números (objetos / tamanho) via:
+  ```sql
+  SELECT bucket_id, COUNT(*) AS objects,
+         pg_size_pretty(SUM((metadata->>'size')::bigint)) AS total_size
+  FROM storage.objects GROUP BY bucket_id ORDER BY bucket_id;
+  ```
+- Quando um novo projeto consumir um bucket existente, adicioná-lo à matriz da seção 2 e à seção 3 do bucket.

package/docs/WORKSPACE_KNOWLEDGE.md

@@ -44,6 +44,7 @@
 | Serviços (Base, Email, Error) | `lib/services/` |
 | Config Vite/Tailwind | `lib/vite/`, `lib/tailwind/` |
 | Spec do módulo Queries | `spec/queries.md` |
+| Inventário de Supabase Storage | `docs/STORAGE_BUCKETS.md` |
 
 ---
 

package/docs/design-system/README.md

@@ -3,7 +3,7 @@
 
 # Design System — forlogic-core
 
-> Gerado automaticamente em 2026-04-14
+> Gerado automaticamente em 2026-04-23
 > Total: 92 componentes documentados em 15 categorias
 
 ## Categorias

package/docs/design-system/patterns/core-providers.md

@@ -31,6 +31,8 @@
 | moduleAlias | string | Não | Alias do módulo para verificação de acesso |
 | moduleAccessGuardProps | object | Não | Props para o ModuleAccessGuard |
 | appTranslations | Record<string, Record<string, string>> | Não | Traduções por idioma no namespace 'app' |
+| clarityProjectId | string | Não | Project ID do Microsoft Clarity. Sem ele, integração desativada. Ver `/ds/clarity-tracking`. |
+| clarityMode | 'auto' \| 'disabled' | Não | Opt-out do tracking Clarity. Default `'auto'`. |
 
 ## QueryClient default
 

package/docs/design-system/selectors.md

@@ -51,6 +51,8 @@ const options: ComboTreeOption[] = [
         
 - ,
         
+- ,
+        
 
 > Fonte: `src/design-system/docs/components/ComboTreeDoc.tsx`
 
@@ -262,6 +264,8 @@ const options: ComboTreeOption[] = [
         
 - ,
         
+- ,
+        
 
 > Fonte: `src/design-system/docs/components/ComboTreeDoc.tsx`
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "forlogic-core",
-  "version": "2.1.5",
+  "version": "2.2.0",
   "type": "module",
   "main": "dist/index.js",
   "module": "dist/index.esm.js",
@@ -38,12 +38,18 @@
     "build:dev": "vite build --mode development",
     "build:lib": "npx tsx scripts/generate-ds-docs.ts & rollup -c",
     "lint": "eslint .",
+    "docs:check": "tsx scripts/check-docs.ts",
+    "docs:check-all": "tsx scripts/check-docs.ts --all",
+    "docs:fix": "tsx scripts/auto-doc.ts",
+    "docs:fix-all": "tsx scripts/auto-doc.ts --all",
     "preview": "vite preview"
   },
   "dependencies": {
     "@dnd-kit/core": "^6.3.1",
     "@dnd-kit/sortable": "^10.0.0",
+    "@dnd-kit/utilities": "^3.2.2",
     "@hookform/resolvers": "^3.10.0",
+    "@microsoft/clarity": "^1.0.2",
     "@radix-ui/react-accordion": "^1.2.11",
     "@radix-ui/react-alert-dialog": "^1.1.14",
     "@radix-ui/react-avatar": "^1.1.10",

package/dist/components/ui/__tests__/status-badge.test.d.ts

@@ -1 +0,0 @@
-export {};