ganbatte-os 0.2.36 → 0.2.38

package/.gos/libraries/gos-compress-setup.md

@@ -0,0 +1,62 @@
+# gos-compress Setup Guide
+
+> Setup unico do compressor LLMLingua-2 (sandeco). Roda 1x por maquina.
+
+## Pre-requisitos
+
+- Python 3.10+
+- Disco livre: ~1.5GB (modelo + venv)
+- (Opcional) GPU CUDA para acelerar — detectada automaticamente
+
+## Setup
+
+```bash
+cd <projeto>/.gos/skills/gos-compress
+python scripts/setup.py
+```
+
+Setup automatico:
+1. Cria `.venv/` na pasta da skill
+2. Atualiza pip
+3. Instala `llmlingua` + `anthropic`
+4. Baixa modelo HuggingFace `microsoft/llmlingua-2-xlm-roberta-large-meetingbank` (~1GB)
+5. Salva cache em `~/.cache/huggingface/`
+
+Primeira execucao: 5-15 minutos (download).
+Execucoes seguintes: instantaneo (cache reusado).
+
+## Validar
+
+```bash
+"<skill-dir>/.venv/Scripts/python.exe" "<skill-dir>/scripts/compress.py" --text "teste de compressao" --rate 0.5
+```
+
+Output esperado: texto comprimido + stats (origin_tokens, compressed_tokens, ratio).
+
+## Variaveis de ambiente
+
+- `ANTHROPIC_API_KEY` — apenas se usar `--ask` para enviar contexto comprimido ao Claude.
+
+## Troubleshooting
+
+### "ModuleNotFoundError: llmlingua"
+Setup nao rodou. Rodar `python scripts/setup.py` na pasta da skill.
+
+### "CUDA out of memory"
+Forcar CPU: `export CUDA_VISIBLE_DEVICES=""` antes de rodar.
+
+### "HF download lento"
+Mirror: `export HF_ENDPOINT=https://hf-mirror.com` antes de rodar setup.
+
+### "permission denied .venv"
+Windows: rodar shell como admin OU usar `python -m venv .venv` manualmente.
+
+## Distribuicao
+
+`.venv` e modelo NAO sao commitados/distribuidos. Cada usuario roda setup local. Adicionar ao `.gitignore` da skill:
+
+```
+.venv/
+__pycache__/
+*.pyc
+```

package/.gos/libraries/intake-questions-mom-test.md

@@ -0,0 +1,91 @@
+# Intake Questions — Mom Test + SPIN para nao-tecnicos
+
+> Banco de perguntas usado por `idea-intake`. Linguagem coloquial, PT-BR.
+
+## Principios
+
+1. **Mom Test**: pergunte sobre o passado (concreto), nao o futuro (hipotetico). Nunca "voce usaria/pagaria?". Sempre "voce ja teve esse problema? como resolveu?".
+2. **SPIN**: Situation, Problem, Implication, Need-payoff. Em ordem. Nao pular.
+3. **Sem jargao**: "banco de dados" -> "lugar onde a informacao fica salva". "API" -> "uma porta que outros sistemas usam pra falar com o seu". "Auth" -> "quem ve o que".
+4. **Especifico, nao generico**: "uma vez" e melhor que "ja aconteceu".
+5. **1 pergunta por vez**. Espere a resposta. Nao acumule.
+
+## Bloco 1 — Situacao (Mom Test concreta)
+
+Escolher 1-2 conforme o tom da conversa:
+
+- "Me conta a ultima vez que isso aconteceu — uma situacao especifica, nao em geral."
+- "O que voce estava fazendo quando o problema bateu?"
+- "Onde voce estava? No celular, no computador, fora de casa?"
+- "Quem mais estava junto? (sozinho, com colega, com cliente, com filho)"
+
+Anti-padrao: "voce costuma ter esse problema?" — abre porta pra resposta vaga.
+
+## Bloco 2 — Problema
+
+- "Como voce resolveu na hora? Mesmo que tenha sido com gambiarra."
+- "Quanto tempo voce gastou ate conseguir resolver?"
+- "O que mais te incomodou nessa hora — a demora, o esforco, a confusao?"
+- "Voce ja tentou alguma ferramenta/jeito antes? Por que nao deu certo?"
+
+## Bloco 3 — Implicacao
+
+- "O que acontece se voce nao resolver isso? (pra voce, pra outras pessoas)"
+- "Quantas vezes por semana/mes isso acontece?"
+- "Tem algum custo (dinheiro, cliente perdido, briga em casa) quando o problema fica sem resolucao?"
+
+## Bloco 4 — Persona
+
+- "Quem mais alem de voce passa por isso? Tenta descrever uma pessoa especifica que voce conhece."
+- "Que tipo de pessoa NUNCA passaria por isso?"
+- "Essa pessoa que sofre — ela e do tipo que ja paga por software, ou e a primeira vez?"
+
+## Bloco 5 — Job-to-be-done
+
+- "Se voce abrisse uma solucao magica amanha, qual e a PRIMEIRA coisa que voce faria com ela?"
+- "Qual e o resultado final que voce quer? (descreve o estado depois de usar — 'minha mae conseguiu agendar', 'fechei a venda', 'recebi o relatorio sem precisar pedir')"
+- "Tem coisas que voce QUER que essa solucao NAO faca? (sem isso vira complicado/feio/caro)"
+
+## Bloco 6 — Telas-chave (sem jargao tecnico)
+
+- "Imagina que abriu o produto agora. O que voce ESPERA ver na primeira tela?"
+- "Quantos cliques/toques voce aceita ate resolver? (1, 3, 10?)"
+- "Se a solucao fosse uma planilha, ja resolveria? Por que nao?"
+- "Tem algum produto parecido que te inspira? (nome, link, ou descricao)"
+- "Tem algum produto parecido que voce ODEIA? Por que?"
+
+## Bloco 7 — Sucesso e descartabilidade
+
+CRITICO. Define perfil de arquitetura:
+
+- "Esse produto e pra usar UMA vez (validar uma ideia, mostrar pra alguem, testar conceito) ou voce quer manter rodando por meses/anos?"
+- "Se for pra usar uma vez: quem usa junto com voce? Voce sozinho, 5 amigos, 100 estranhos?"
+- "Como voce vai saber, depois de usar, que valeu a pena? Em uma frase humana, sem numeros."
+- "Quanto voce pode investir pra isso existir? (tempo seu? dinheiro? ambos?)"
+
+## Sinais de alerta (re-perguntar)
+
+- Resposta vaga ("e tipo... uma plataforma de gestao") -> pedir um exemplo concreto.
+- Sempre "talvez/depende" -> falta de problema real, considerar abortar.
+- Usuario descrevendo SOLUCAO no lugar de PROBLEMA -> redirecionar: "ok, isso e UMA forma de resolver — mas qual e o problema que essa coisa resolve?".
+
+## Sinais de alerta (problema fraco)
+
+Se ao final do Bloco 3 (Implicacao):
+- Custo zero ("e que seria legal ter")
+- Sem frequencia clara ("acontece as vezes")
+- Sem persona alem do proprio usuario ("acho que outras pessoas tambem teriam")
+
+-> Marcar `descartavel: true` automaticamente e perguntar se vale seguir.
+
+## Anti-perguntas (NAO fazer)
+
+- "Voce pagaria por isso?"  (Mom Test rejeita)
+- "Seria legal se...?"  (compromisso fake)
+- "O que voce acha de uma feature X?"  (chumbando solucao)
+- "Em geral, qual seu maior problema?"  (vago)
+- "Voce usaria?"  (futuro hipotetico)
+
+## Output esperado ao fim
+
+15 perguntas no maximo, 5 blocos cobertos, resumo factual em 5 bullets — usuario valida ou corrige.

package/.gos/libraries/lucide-icons-policy.md

@@ -0,0 +1,174 @@
+# Lucide Icons Policy — G-OS
+
+> Regra do dono: **NUNCA usar emojis em codigo gerado**. Sempre usar Lucide React.
+> Excecao: usuario pediu emoji explicitamente OU output em texto plano para usuario final humano.
+
+## Por que
+
+1. Consistencia visual (todos os icones na mesma grid 24x24).
+2. Tema-aware (`currentColor` segue color/dark mode).
+3. Tree-shaking (so icones usados entram no bundle).
+4. Acessibilidade (sized + aria-friendly).
+5. Profissionalismo — emojis em UI corporativa parecem amador.
+
+## Stack
+
+```bash
+npm install lucide-react
+```
+
+## Uso padrao
+
+```tsx
+import { Folder, Plus, Trash2, Settings } from "lucide-react";
+
+<Button>
+  <Plus className="h-4 w-4" />
+  Novo projeto
+</Button>
+
+<Folder className="h-5 w-5 text-muted-foreground" />
+
+// Icon-only button — aria-label OBRIGATORIO
+<Button variant="ghost" size="icon" aria-label="Configuracoes">
+  <Settings className="h-4 w-4" />
+</Button>
+```
+
+## Tamanhos canonicos
+
+| Contexto | className |
+|----------|-----------|
+| Inline em texto | `h-3 w-3` ou `h-3.5 w-3.5` |
+| Inside button (sm) | `h-4 w-4` |
+| Inside button (default) | `h-4 w-4` |
+| Inside button (lg) | `h-5 w-5` |
+| Icon-only button | `h-4 w-4` |
+| Section heading | `h-5 w-5` |
+| Empty state | `h-12 w-12` ou `h-16 w-16` |
+| Hero / illustration | `h-24 w-24` |
+
+## Cores
+
+```tsx
+// Default — segue cor do parent (currentColor)
+<Plus className="h-4 w-4" />
+
+// Cor especifica via Tailwind
+<AlertCircle className="h-5 w-5 text-destructive" />
+<CheckCircle2 className="h-5 w-5 text-success" />
+<Info className="h-5 w-5 text-muted-foreground" />
+```
+
+## Mapeamento emoji -> Lucide (referencia rapida)
+
+| Emoji | Lucide | Uso |
+|-------|--------|-----|
+| 👍 | `ThumbsUp` | aprovado |
+| 👎 | `ThumbsDown` | rejeitado |
+| ✅ | `Check` ou `CheckCircle2` | sucesso |
+| ❌ | `X` ou `XCircle` | erro/fechar |
+| ⚠️ | `AlertTriangle` | aviso |
+| ℹ️ | `Info` | informacao |
+| 🔍 | `Search` | busca |
+| 📅 | `Calendar` | data |
+| 📝 | `Pencil` ou `FileText` | editar / nota |
+| 🗑️ | `Trash2` | deletar |
+| ⚙️ | `Settings` | configuracoes |
+| 👤 | `User` | usuario |
+| 👥 | `Users` | grupo |
+| 🏠 | `Home` | home |
+| 📂 | `Folder` | pasta |
+| 📄 | `FileText` | documento |
+| 💾 | `Save` | salvar |
+| 🔒 | `Lock` | privado |
+| 🔓 | `Unlock` | publico |
+| 📈 | `TrendingUp` | crescimento |
+| 📉 | `TrendingDown` | queda |
+| ⏰ | `Clock` | horario |
+| 🔔 | `Bell` | notificacao |
+| ❤️ | `Heart` | favorito |
+| ⭐ | `Star` | rating |
+| 🚀 | `Rocket` | launch |
+| 🎯 | `Target` | objetivo |
+| 💡 | `Lightbulb` | ideia |
+| 🔧 | `Wrench` | ferramenta |
+| 📊 | `BarChart3` | grafico |
+| 📥 | `Download` ou `Inbox` | download |
+| 📤 | `Upload` ou `Send` | upload |
+| 🔗 | `Link` | link |
+| 📌 | `Pin` | fixar |
+| 🌟 | `Sparkles` | destaque |
+| 🎨 | `Palette` | design |
+| 🔥 | `Flame` | hot/destaque |
+| ✨ | `Sparkles` | novo/magico |
+
+## Estados visuais com Lucide (skeleton, empty, error)
+
+### Skeleton loading
+```tsx
+import { Skeleton } from "@/components/ui/skeleton";
+
+<div className="space-y-3">
+  <Skeleton className="h-4 w-3/4" />
+  <Skeleton className="h-4 w-1/2" />
+  <Skeleton className="h-32 w-full" />
+</div>
+```
+
+### Empty state
+```tsx
+import { Inbox } from "lucide-react";
+
+<div className="flex flex-col items-center justify-center py-12 text-center">
+  <Inbox className="h-12 w-12 text-muted-foreground mb-4" />
+  <h3 className="text-lg font-semibold">Nenhum projeto ainda</h3>
+  <p className="text-sm text-muted-foreground mt-1 mb-4">
+    Comece criando seu primeiro projeto.
+  </p>
+  <Button>
+    <Plus className="h-4 w-4 mr-2" />
+    Novo projeto
+  </Button>
+</div>
+```
+
+### Error state
+```tsx
+import { AlertTriangle, RotateCw } from "lucide-react";
+
+<div className="flex flex-col items-center justify-center py-12 text-center">
+  <AlertTriangle className="h-12 w-12 text-destructive mb-4" />
+  <h3 className="text-lg font-semibold">Algo deu errado</h3>
+  <p className="text-sm text-muted-foreground mt-1 mb-4">{error.message}</p>
+  <Button variant="outline" onClick={retry}>
+    <RotateCw className="h-4 w-4 mr-2" />
+    Tentar de novo
+  </Button>
+</div>
+```
+
+## Anti-patterns
+
+- Emoji em codigo gerado: `<button>👍 Aprovar</button>` — REPROVADO.
+- Texto unicode visual: `✓` em vez de `<Check />` — REPROVADO em codigo.
+- Inline SVG quando Lucide tem o icone — usar Lucide.
+- FontAwesome / Heroicons / outros — usar Lucide (one icon lib policy).
+- Icon sem `aria-label` em icon-only button — REPROVADO em a11y.
+
+## Excecoes (emoji permitido)
+
+- Output em terminal/Bash que sera lido por humano (ex: `npm run doctor`).
+- Documentacao README.md (estilo).
+- Slack messages, ClickUp comments (texto plano fora de codigo de UI).
+- Mensagens em chat enquanto agente conversa com usuario (regra global do agente — nao em codigo gerado).
+- Usuario pede explicitamente: "use emoji aqui".
+
+## Validacao automatica
+
+`ui-guardrails` checa toda task de UI:
+- [ ] Imports de `lucide-react` quando ha icone declarado?
+- [ ] Zero emoji unicode em strings de UI (regex `/[\u{1F300}-\u{1FAFF}\u{2600}-\u{27BF}]/u`)?
+- [ ] Icon-only buttons com `aria-label`?
+
+Falha em qualquer -> bloqueia codegen.

package/.gos/libraries/security-best-practices.md

@@ -0,0 +1,138 @@
+# Security Best Practices — G-OS
+
+> Checklist de seguranca aplicavel ao stack default (React + Workers + Supabase). Aplicado por `ui-guardrails`, `adr-tech-decisions` e validado por `validate-plan` quando viavel.
+
+## Principio: defense-in-depth pragmatico
+
+MVP descartavel: priorize itens **must**. Continuo: cobrir todos.
+
+## 1. Secrets e variaveis de ambiente
+
+### Must
+- [ ] **Nunca** committar `.env`, `.dev.vars`, `wrangler.toml` com secrets.
+- [ ] `.env.example` apenas com chaves vazias.
+- [ ] Workers: secrets via `wrangler secret put` (nao `vars` em wrangler.toml).
+- [ ] Pages: env vars sensiveis somente em "encrypted" no dashboard.
+- [ ] Front (Vite): apenas `VITE_*` vars publicas. **NUNCA** `service_role` Supabase no front.
+
+### Should
+- [ ] Rotation de chaves a cada 90 dias em prod.
+- [ ] Audit log de quem acessou secret.
+
+## 2. Supabase — Row Level Security (RLS)
+
+### Must
+- [ ] **RLS sempre ON** em toda tabela com dados de usuario.
+- [ ] Policy `permissive` baseada em `auth.uid()` para `select|insert|update|delete`.
+- [ ] Tabelas publicas (read-only): `policy USING (true)` em SELECT, sem INSERT/UPDATE/DELETE.
+- [ ] Frontend usa SOMENTE `anon_key`. `service_role_key` SO em Workers/Edge Functions.
+
+### Should
+- [ ] View de auditoria de RLS (ver `docs-tools/supabase/guia-rls.md` no projeto base).
+- [ ] Testes que tentam acessar dado de outro user e devem falhar.
+- [ ] `BYPASSRLS` documentado caso a caso (admin queries).
+
+### Pattern padrao para tabela "minha"
+```sql
+alter table public.<tabela> enable row level security;
+
+create policy "select_own"
+  on public.<tabela> for select
+  using (auth.uid() = user_id);
+
+create policy "insert_own"
+  on public.<tabela> for insert
+  with check (auth.uid() = user_id);
+
+create policy "update_own"
+  on public.<tabela> for update
+  using (auth.uid() = user_id)
+  with check (auth.uid() = user_id);
+
+create policy "delete_own"
+  on public.<tabela> for delete
+  using (auth.uid() = user_id);
+```
+
+## 3. Auth (Supabase)
+
+### Must
+- [ ] Magic link OU OAuth — evitar password como primary.
+- [ ] Email allowlist em projeto interno (via RLS ou Edge Function).
+- [ ] `auth.uid()` sempre referenciada no front via `supabase.auth.getUser()` (nao trust local cache).
+- [ ] Logout invalida sessao remota (`supabase.auth.signOut({ scope: 'global' })`).
+
+### Should
+- [ ] MFA (TOTP) para admin.
+- [ ] Rate limit em endpoints de auth via Supabase config.
+
+## 4. CORS & CSRF
+
+### Must
+- [ ] Workers retornam `Access-Control-Allow-Origin` SO para origens conhecidas (nao `*` em prod).
+- [ ] CSRF: tokens em forms sensiveis OU SameSite=Strict cookies.
+- [ ] Anti-clickjacking: `X-Frame-Options: DENY` em paginas auth.
+
+## 5. Inputs e validacao
+
+### Must
+- [ ] Validar todo input do usuario com Zod no front E backend (defense-in-depth).
+- [ ] SQL: usar parametrizadas (Supabase JS ja faz). NUNCA concatenar string.
+- [ ] HTML: nunca renderizar conteudo do usuario como HTML bruto — sempre sanitizar via lib dedicada (DOMPurify) antes de injetar.
+- [ ] File upload: validar mime type + tamanho server-side (em Workers ou Supabase Storage policy).
+
+## 6. Logs e observabilidade
+
+### Must
+- [ ] Nao logar PII (email, telefone, CPF) em texto plano.
+- [ ] Mascarar tokens em logs (regex `[A-Za-z0-9]{32,}` -> `***`).
+- [ ] Wrangler tail apenas em dev — desabilitar em prod.
+
+### Should
+- [ ] Sentry ou Cloudflare Logs para erros nao-tratados.
+
+## 7. Dependencias
+
+### Must
+- [ ] `npm audit` em CI (falha em high/critical).
+- [ ] Lockfile committed (`package-lock.json` ou `pnpm-lock.yaml`).
+- [ ] Atualizar deps com versao patch a cada sprint (renovate-bot opcional).
+
+## 8. Deployment
+
+### Must
+- [ ] HTTPS forced (Cloudflare ja faz por default).
+- [ ] HSTS header em paginas auth.
+- [ ] Wrangler `compatibility_date` recente (max 6 meses atras).
+
+### Should
+- [ ] Branch protection no GitHub (require PR + review + checks).
+- [ ] Preview deploys com auth (Cloudflare Access).
+
+## 9. RLS audit checklist (pre-launch)
+
+```
+[ ] Toda tabela com user data tem RLS ON?
+[ ] Toda RLS tem policy permissive baseada em auth.uid()?
+[ ] anon role consegue SELECT em tabelas publicas?
+[ ] anon role NAO consegue SELECT em tabelas privadas?
+[ ] authenticated role enxerga apenas suas linhas?
+[ ] service_role key NAO esta em codigo do front?
+[ ] Trigger updated_at em todas as tabelas?
+[ ] Constraints UNIQUE em colunas-chave (email, slug)?
+```
+
+## 10. MVP descartavel — relax permitido
+
+Quando `descartavel: true` no PRD:
+- RLS pode ser unico (todos veem tudo) se publico — declarar no ADR.
+- Auth pode ser opcional (Cloudflare Access free).
+- Sentry/observabilidade -> Cloudflare Logs nativos sao suficientes.
+- npm audit medium permitido se nao afeta runtime.
+
+## Referencias
+
+- `docs-tools/supabase/guia-rls.md` — auditoria de RLS no projeto base.
+- `docs-tools/docs/engineering/banco-dados/` — patterns de Postgres.
+- OWASP Top 10 (https://owasp.org/Top10/).
+- Supabase Hardening Checklist (https://supabase.com/docs/guides/platform/going-into-prod).

package/.gos/libraries/supabase-stack-kb.md

@@ -0,0 +1,124 @@
+# Supabase Stack KB — Free Tier (2026-05)
+
+> Referencia consultada por `adr-tech-decisions`. Data: 2026-05.
+> Sempre verificar https://supabase.com/pricing para limites atuais.
+
+## Filosofia G-OS para Supabase
+
+1. Usar quando precisa Postgres real, auth pronta, ou Realtime escalavel.
+2. Combina bem com Cloudflare Pages (front) + Supabase (backend completo).
+3. Free tier projetos pausam apos 7 dias inativos — atencao para MVPs descartaveis em demo.
+4. **Anti-vendor-lock**: Postgres standard, Auth pode ser substituida (Auth.js, Lucia).
+
+## Free tier (2 projetos ativos simultaneos)
+
+### Database (Postgres)
+- 500MB storage
+- 2GB bandwidth/mes
+- 50k MAU em Auth
+- 5GB storage de arquivos (Storage)
+- 7 dias de inatividade -> projeto pausa (precisa logar e dar resume)
+
+### Auth (free 50k MAU)
+- Email/password, magic link, OAuth (Google, GitHub, ~20 providers)
+- Row Level Security (RLS) Postgres-based
+- JWT signing automatico
+- **Limite: 4 social providers em free, 30 em pro**
+
+### Realtime (free)
+- Postgres logical replication -> canais por tabela
+- 200 conexoes simultaneas
+- 2M mensagens/mes
+- **Limite: 200 conexoes pode ser baixo para chat publico; suficiente para dashboard interno**
+
+### Storage (free)
+- 5GB
+- 5GB egress/mes
+- Image transformations (resize, format)
+
+### Edge Functions (free)
+- 500k invocations/mes
+- 2s execution time
+- Deno-based
+- Bom para webhooks, cron jobs, API routes leves
+
+## Patterns recomendados
+
+### Pattern: Front Cloudflare + Back Supabase (recomendado MVP rapido)
+
+```
+[Cloudflare Pages]            [Supabase]
+   Vite + React               Postgres + Auth + Storage
+   |                          |
+   +--- supabase-js client ---+
+        (direto do browser, RLS protege)
+```
+
+Pros:
+- Sem Workers necessarios
+- Auth pronta em 1 hora
+- RLS substitui boa parte de backend
+
+Contras:
+- Vendor lock no Auth (mas Postgres e portavel)
+- Cold start de project apos 7 dias de inatividade
+
+### Pattern: Cloudflare Workers + Supabase Postgres (apenas DB)
+
+Use quando:
+- Quer logica de servidor (Workers) mas precisa Postgres real (D1 nao basta).
+- Auth simples ou via Cloudflare Access.
+
+## Realtime: Supabase Realtime vs Cloudflare DO+WS
+
+| Criterio | Supabase Realtime | Cloudflare DO+WS |
+|----------|-------------------|------------------|
+| Custo MVP | Free 200 conn | Free 1M ops/mes |
+| Modelo | Postgres-based (subscribe a INSERT/UPDATE) | Codigo livre (qualquer mensagem) |
+| Boa para | Notificacoes vindas de DB | Chat, jogo, presenca |
+| Limite escala | 200 conn free / 500 pro | 32k por DO, infinito DOs |
+| Latencia | ~100ms | ~50ms (edge) |
+| Setup | `.from('table').on('INSERT', ...)` | Implementar `webSocketMessage()` |
+
+**Regra G-OS**: usuario indicou "chat ao vivo" sem DB transacional -> DO+WS. Indicou "notificacao quando alguem cadastra X" -> Supabase Realtime.
+
+## Anti-patterns
+
+- Free project como demo permanente: pausa em 7 dias, demo quebra.
+- RLS desabilitado em prod: vazamento de dados.
+- service_role key exposta no front: bypassa RLS — NUNCA por no Pages.
+- Storage publico sem moderacao: ataques de upload em MVP.
+
+## Bindings (Cloudflare Workers consumindo Supabase)
+
+```typescript
+import { createClient } from '@supabase/supabase-js'
+
+export default {
+  async fetch(req: Request, env: Env) {
+    const supabase = createClient(
+      env.SUPABASE_URL,
+      env.SUPABASE_ANON_KEY  // ou SERVICE_ROLE pra ops privilegiadas
+    )
+    // ...
+  }
+}
+```
+
+`wrangler secret put SUPABASE_URL` e `SUPABASE_ANON_KEY`.
+
+## Limites para alarmar
+
+| Recurso | Limite free | Alarme |
+|---------|-------------|--------|
+| DB storage | 500MB | >300MB |
+| MAU auth | 50k | >30k |
+| Realtime conn | 200 | >100 sustentadas |
+| Edge Function invocations | 500k/mes | >300k/mes |
+| Inatividade | 7 dias | demos publicas precisam ping |
+
+## Ferramentas
+
+- **CLI**: `npm i -g supabase` — `supabase init`, `supabase db push`, migrations
+- **Studio**: dashboard web em supabase.com — SQL editor, table editor, Auth users
+- **Local dev**: `supabase start` (precisa Docker) — sobe Postgres + Auth + Storage local