ganbatte-os 0.2.37 → 0.2.41

package/.gos/libraries/engineering-best-practices.md

@@ -0,0 +1,208 @@
+# Engineering Best Practices — G-OS
+
+> Padroes de codigo, arquitetura e workflow. Aplicado em todo `plan-blueprint`, codegen e revisao.
+
+## TypeScript — strict mode obrigatorio
+
+```json
+// tsconfig.json
+{
+  "compilerOptions": {
+    "strict": true,
+    "noImplicitAny": true,
+    "strictNullChecks": true,
+    "noUncheckedIndexedAccess": true,
+    "noFallthroughCasesInSwitch": true
+  }
+}
+```
+
+### Regras
+
+- **Nunca** `as any`, `@ts-ignore` sem comentario justificando.
+- **Permitido** `@ts-expect-error` com comentario obrigatorio.
+- `interface` para objetos de dominio e contratos.
+- `type` para unions, intersections, utilitarios.
+- **Nunca enum** — use `const X = { ... } as const` + `type Status = typeof X[keyof typeof X]`.
+- Generics tipados — sem `T = any`.
+
+## React 18 — patterns
+
+### Componentes
+- Funcionais sempre. Class components proibidos.
+- `function declaration` para componentes principais (export default).
+- `arrow function` para callbacks/handlers.
+- Props tipadas via `interface`.
+- Children: `React.ReactNode` (nao `JSX.Element[]`).
+
+### Hooks
+- `useState` para estado local primitivo.
+- `useReducer` para state machine (>3 transicoes).
+- `useEffect` apenas para sincronizacao com sistema externo (DOM, network, subscriptions).
+- **NUNCA** `useEffect` para derivar state — calcular inline ou `useMemo`.
+- Custom hooks com prefix `use` + camelCase (`useAuth`, `useProjects`).
+
+### Estado global
+- Servidor: TanStack Query (cache + invalidation).
+- Cliente: Zustand para complexo, `useState` lift-up para simples.
+- **Nunca** Redux em projeto novo.
+
+## TanStack Query — patterns
+
+```tsx
+// Query key como tupla [domain, params]
+const projects = useQuery({
+  queryKey: ['projects', { status: 'active' }],
+  queryFn: () => api.projects.list({ status: 'active' }),
+  staleTime: 60_000, // 1min
+});
+
+// Mutation com invalidacao
+const createProject = useMutation({
+  mutationFn: api.projects.create,
+  onSuccess: () => qc.invalidateQueries({ queryKey: ['projects'] }),
+});
+```
+
+### Anti-patterns
+- Refetch on window focus em lista grande (custo de rede).
+- queryKey como string (`'projects'`) — sempre array.
+- Mutation sem `onError` quando UX precisa rollback.
+
+## TanStack Router — patterns
+
+- Routes em `src/routes/<path>.tsx` com file-based routing OU codegen.
+- Loader para dados criticos (bloqueia render ate ter).
+- Search params via `validateSearch` Zod.
+- Type-safe params: `Route.useParams()`.
+
+## File structure (single-app)
+
+```
+src/
+  routes/                   # rotas TanStack
+  components/
+    ui/                     # shadcn primitives
+    <feature>/              # componentes especificos do dominio
+  hooks/                    # custom hooks reutilizaveis
+  lib/
+    supabase.ts             # client
+    utils.ts                # cn(), formatters
+  schemas/                  # Zod schemas
+  types/                    # tipos compartilhados
+  api/                      # client API (workers fetch wrappers)
+```
+
+## File structure (monorepo)
+
+```
+apps/
+  web/                      # frontend
+  worker/                   # backend Workers
+packages/
+  ui/                       # design system compartilhado
+  schemas/                  # Zod schemas usados front+back
+  types/                    # tipos compartilhados
+  config/                   # tsconfig base, eslint base
+```
+
+## Naming
+
+- Componentes: `PascalCase` (`ProjectCard.tsx`).
+- Hooks: `camelCase` com `use` prefix (`useProjects.ts`).
+- Utils: `camelCase` (`formatCurrency.ts`).
+- Types: `PascalCase` (`Project`, `User`).
+- Constants: `SCREAMING_SNAKE_CASE` (`MAX_FILE_SIZE`).
+- Booleans: `is/has/should` prefix (`isLoading`, `hasError`).
+
+## Commits — Conventional Commits
+
+```
+<type>(<scope>): <subject>
+
+[body]
+
+[footer]
+```
+
+Types: `feat`, `fix`, `refactor`, `chore`, `docs`, `test`, `style`, `perf`, `ci`.
+
+Exemplos:
+- `feat(auth): add magic link login`
+- `fix(projects): correct active count`
+- `refactor(api): extract supabase client`
+
+## Branches
+
+- `main` — producao.
+- `dev` — integracao.
+- `feat/<slug>` — feature em desenvolvimento.
+- `fix/<slug>` — bug fix.
+- `chore/<slug>` — limpeza.
+
+## Workflow
+
+1. `feat/<slug>` -> commits pequenos e atomicos.
+2. PR para `dev`.
+3. Code review obrigatorio (auto-review aceito em MVP descartavel).
+4. CI passa (build + tsc + tests).
+5. Merge squash.
+6. `dev` -> `main` periodicamente.
+
+## Testing
+
+### MVP descartavel
+- Smoke test manual antes de deploy.
+- Sem unit tests obrigatorios.
+
+### Continuo
+- Vitest para units (so logica pura, formatadores, hooks).
+- Playwright para E2E em fluxos criticos (login, checkout, dashboard).
+- Coverage minima: 60% em logica de negocio.
+- **NAO** testar componentes UI puros (chumba implementacao).
+
+## Performance
+
+- Lazy load rotas: `React.lazy` + `Suspense`.
+- Code split por feature (TanStack Router cuida).
+- Imagens: WebP via Cloudflare Image Transformations.
+- Bundle target: <200KB inicial gzip.
+- Lighthouse score 90+ em mobile.
+
+## Acessibilidade
+
+- Labels em todos inputs (`htmlFor` + `id` ou `aria-label`).
+- Roles ARIA em componentes custom.
+- Focus management em modal/drawer.
+- Contraste AA (4.5:1 texto, 3:1 UI).
+- Keyboard navigation em todos os flows interativos.
+
+Detalhe completo: `libraries/ui-guardrails-checklist.md`.
+
+## Architecture — Hexagonal-ish (continuo)
+
+```
+src/
+  domain/                   # entidades, value objects, regras puras
+  application/              # use cases, services
+  infrastructure/           # adapters (supabase, workers, http)
+  ui/                       # React components
+```
+
+Em MVP descartavel, achatar para `lib/` + `components/` direto.
+
+## Anti-patterns
+
+- Componente >500 linhas — quebrar em sub-components.
+- Hook com >5 useState — provavelmente precisa useReducer.
+- Funcao com >50 linhas — extrair sub-funcoes.
+- `any` em props — sempre tipar.
+- `console.log` em codigo que vai pra prod — usar logger ou remover.
+- TODO sem prazo/owner — vira divida tecnica permanente.
+- Comentario explicando WHAT do codigo — refatorar nome em vez de comentar.
+
+## Referencias completas
+
+- `docs-tools/docs/engineering/dev/02-padroes-codigo.md` — base completa.
+- `docs-tools/docs/engineering/arquitetura/hexagonal.md` — para apps continuos.
+- `docs-tools/docs/engineering/dev/01-workflow-desenvolvimento.md` — fluxo de trabalho.

package/.gos/libraries/gos-compress-setup.md

@@ -0,0 +1,62 @@
+# gos-compress Setup Guide
+
+> Setup unico do compressor LLMLingua-2 (sandeco). Roda 1x por maquina.
+
+## Pre-requisitos
+
+- Python 3.10+
+- Disco livre: ~1.5GB (modelo + venv)
+- (Opcional) GPU CUDA para acelerar — detectada automaticamente
+
+## Setup
+
+```bash
+cd <projeto>/.gos/skills/gos-compress
+python scripts/setup.py
+```
+
+Setup automatico:
+1. Cria `.venv/` na pasta da skill
+2. Atualiza pip
+3. Instala `llmlingua` + `anthropic`
+4. Baixa modelo HuggingFace `microsoft/llmlingua-2-xlm-roberta-large-meetingbank` (~1GB)
+5. Salva cache em `~/.cache/huggingface/`
+
+Primeira execucao: 5-15 minutos (download).
+Execucoes seguintes: instantaneo (cache reusado).
+
+## Validar
+
+```bash
+"<skill-dir>/.venv/Scripts/python.exe" "<skill-dir>/scripts/compress.py" --text "teste de compressao" --rate 0.5
+```
+
+Output esperado: texto comprimido + stats (origin_tokens, compressed_tokens, ratio).
+
+## Variaveis de ambiente
+
+- `ANTHROPIC_API_KEY` — apenas se usar `--ask` para enviar contexto comprimido ao Claude.
+
+## Troubleshooting
+
+### "ModuleNotFoundError: llmlingua"
+Setup nao rodou. Rodar `python scripts/setup.py` na pasta da skill.
+
+### "CUDA out of memory"
+Forcar CPU: `export CUDA_VISIBLE_DEVICES=""` antes de rodar.
+
+### "HF download lento"
+Mirror: `export HF_ENDPOINT=https://hf-mirror.com` antes de rodar setup.
+
+### "permission denied .venv"
+Windows: rodar shell como admin OU usar `python -m venv .venv` manualmente.
+
+## Distribuicao
+
+`.venv` e modelo NAO sao commitados/distribuidos. Cada usuario roda setup local. Adicionar ao `.gitignore` da skill:
+
+```
+.venv/
+__pycache__/
+*.pyc
+```

package/.gos/libraries/intake-questions-mom-test.md

@@ -0,0 +1,91 @@
+# Intake Questions — Mom Test + SPIN para nao-tecnicos
+
+> Banco de perguntas usado por `idea-intake`. Linguagem coloquial, PT-BR.
+
+## Principios
+
+1. **Mom Test**: pergunte sobre o passado (concreto), nao o futuro (hipotetico). Nunca "voce usaria/pagaria?". Sempre "voce ja teve esse problema? como resolveu?".
+2. **SPIN**: Situation, Problem, Implication, Need-payoff. Em ordem. Nao pular.
+3. **Sem jargao**: "banco de dados" -> "lugar onde a informacao fica salva". "API" -> "uma porta que outros sistemas usam pra falar com o seu". "Auth" -> "quem ve o que".
+4. **Especifico, nao generico**: "uma vez" e melhor que "ja aconteceu".
+5. **1 pergunta por vez**. Espere a resposta. Nao acumule.
+
+## Bloco 1 — Situacao (Mom Test concreta)
+
+Escolher 1-2 conforme o tom da conversa:
+
+- "Me conta a ultima vez que isso aconteceu — uma situacao especifica, nao em geral."
+- "O que voce estava fazendo quando o problema bateu?"
+- "Onde voce estava? No celular, no computador, fora de casa?"
+- "Quem mais estava junto? (sozinho, com colega, com cliente, com filho)"
+
+Anti-padrao: "voce costuma ter esse problema?" — abre porta pra resposta vaga.
+
+## Bloco 2 — Problema
+
+- "Como voce resolveu na hora? Mesmo que tenha sido com gambiarra."
+- "Quanto tempo voce gastou ate conseguir resolver?"
+- "O que mais te incomodou nessa hora — a demora, o esforco, a confusao?"
+- "Voce ja tentou alguma ferramenta/jeito antes? Por que nao deu certo?"
+
+## Bloco 3 — Implicacao
+
+- "O que acontece se voce nao resolver isso? (pra voce, pra outras pessoas)"
+- "Quantas vezes por semana/mes isso acontece?"
+- "Tem algum custo (dinheiro, cliente perdido, briga em casa) quando o problema fica sem resolucao?"
+
+## Bloco 4 — Persona
+
+- "Quem mais alem de voce passa por isso? Tenta descrever uma pessoa especifica que voce conhece."
+- "Que tipo de pessoa NUNCA passaria por isso?"
+- "Essa pessoa que sofre — ela e do tipo que ja paga por software, ou e a primeira vez?"
+
+## Bloco 5 — Job-to-be-done
+
+- "Se voce abrisse uma solucao magica amanha, qual e a PRIMEIRA coisa que voce faria com ela?"
+- "Qual e o resultado final que voce quer? (descreve o estado depois de usar — 'minha mae conseguiu agendar', 'fechei a venda', 'recebi o relatorio sem precisar pedir')"
+- "Tem coisas que voce QUER que essa solucao NAO faca? (sem isso vira complicado/feio/caro)"
+
+## Bloco 6 — Telas-chave (sem jargao tecnico)
+
+- "Imagina que abriu o produto agora. O que voce ESPERA ver na primeira tela?"
+- "Quantos cliques/toques voce aceita ate resolver? (1, 3, 10?)"
+- "Se a solucao fosse uma planilha, ja resolveria? Por que nao?"
+- "Tem algum produto parecido que te inspira? (nome, link, ou descricao)"
+- "Tem algum produto parecido que voce ODEIA? Por que?"
+
+## Bloco 7 — Sucesso e descartabilidade
+
+CRITICO. Define perfil de arquitetura:
+
+- "Esse produto e pra usar UMA vez (validar uma ideia, mostrar pra alguem, testar conceito) ou voce quer manter rodando por meses/anos?"
+- "Se for pra usar uma vez: quem usa junto com voce? Voce sozinho, 5 amigos, 100 estranhos?"
+- "Como voce vai saber, depois de usar, que valeu a pena? Em uma frase humana, sem numeros."
+- "Quanto voce pode investir pra isso existir? (tempo seu? dinheiro? ambos?)"
+
+## Sinais de alerta (re-perguntar)
+
+- Resposta vaga ("e tipo... uma plataforma de gestao") -> pedir um exemplo concreto.
+- Sempre "talvez/depende" -> falta de problema real, considerar abortar.
+- Usuario descrevendo SOLUCAO no lugar de PROBLEMA -> redirecionar: "ok, isso e UMA forma de resolver — mas qual e o problema que essa coisa resolve?".
+
+## Sinais de alerta (problema fraco)
+
+Se ao final do Bloco 3 (Implicacao):
+- Custo zero ("e que seria legal ter")
+- Sem frequencia clara ("acontece as vezes")
+- Sem persona alem do proprio usuario ("acho que outras pessoas tambem teriam")
+
+-> Marcar `descartavel: true` automaticamente e perguntar se vale seguir.
+
+## Anti-perguntas (NAO fazer)
+
+- "Voce pagaria por isso?"  (Mom Test rejeita)
+- "Seria legal se...?"  (compromisso fake)
+- "O que voce acha de uma feature X?"  (chumbando solucao)
+- "Em geral, qual seu maior problema?"  (vago)
+- "Voce usaria?"  (futuro hipotetico)
+
+## Output esperado ao fim
+
+15 perguntas no maximo, 5 blocos cobertos, resumo factual em 5 bullets — usuario valida ou corrige.

package/.gos/libraries/lucide-icons-policy.md

@@ -0,0 +1,174 @@
+# Lucide Icons Policy — G-OS
+
+> Regra do dono: **NUNCA usar emojis em codigo gerado**. Sempre usar Lucide React.
+> Excecao: usuario pediu emoji explicitamente OU output em texto plano para usuario final humano.
+
+## Por que
+
+1. Consistencia visual (todos os icones na mesma grid 24x24).
+2. Tema-aware (`currentColor` segue color/dark mode).
+3. Tree-shaking (so icones usados entram no bundle).
+4. Acessibilidade (sized + aria-friendly).
+5. Profissionalismo — emojis em UI corporativa parecem amador.
+
+## Stack
+
+```bash
+npm install lucide-react
+```
+
+## Uso padrao
+
+```tsx
+import { Folder, Plus, Trash2, Settings } from "lucide-react";
+
+<Button>
+  <Plus className="h-4 w-4" />
+  Novo projeto
+</Button>
+
+<Folder className="h-5 w-5 text-muted-foreground" />
+
+// Icon-only button — aria-label OBRIGATORIO
+<Button variant="ghost" size="icon" aria-label="Configuracoes">
+  <Settings className="h-4 w-4" />
+</Button>
+```
+
+## Tamanhos canonicos
+
+| Contexto | className |
+|----------|-----------|
+| Inline em texto | `h-3 w-3` ou `h-3.5 w-3.5` |
+| Inside button (sm) | `h-4 w-4` |
+| Inside button (default) | `h-4 w-4` |
+| Inside button (lg) | `h-5 w-5` |
+| Icon-only button | `h-4 w-4` |
+| Section heading | `h-5 w-5` |
+| Empty state | `h-12 w-12` ou `h-16 w-16` |
+| Hero / illustration | `h-24 w-24` |
+
+## Cores
+
+```tsx
+// Default — segue cor do parent (currentColor)
+<Plus className="h-4 w-4" />
+
+// Cor especifica via Tailwind
+<AlertCircle className="h-5 w-5 text-destructive" />
+<CheckCircle2 className="h-5 w-5 text-success" />
+<Info className="h-5 w-5 text-muted-foreground" />
+```
+
+## Mapeamento emoji -> Lucide (referencia rapida)
+
+| Emoji | Lucide | Uso |
+|-------|--------|-----|
+| 👍 | `ThumbsUp` | aprovado |
+| 👎 | `ThumbsDown` | rejeitado |
+| ✅ | `Check` ou `CheckCircle2` | sucesso |
+| ❌ | `X` ou `XCircle` | erro/fechar |
+| ⚠️ | `AlertTriangle` | aviso |
+| ℹ️ | `Info` | informacao |
+| 🔍 | `Search` | busca |
+| 📅 | `Calendar` | data |
+| 📝 | `Pencil` ou `FileText` | editar / nota |
+| 🗑️ | `Trash2` | deletar |
+| ⚙️ | `Settings` | configuracoes |
+| 👤 | `User` | usuario |
+| 👥 | `Users` | grupo |
+| 🏠 | `Home` | home |
+| 📂 | `Folder` | pasta |
+| 📄 | `FileText` | documento |
+| 💾 | `Save` | salvar |
+| 🔒 | `Lock` | privado |
+| 🔓 | `Unlock` | publico |
+| 📈 | `TrendingUp` | crescimento |
+| 📉 | `TrendingDown` | queda |
+| ⏰ | `Clock` | horario |
+| 🔔 | `Bell` | notificacao |
+| ❤️ | `Heart` | favorito |
+| ⭐ | `Star` | rating |
+| 🚀 | `Rocket` | launch |
+| 🎯 | `Target` | objetivo |
+| 💡 | `Lightbulb` | ideia |
+| 🔧 | `Wrench` | ferramenta |
+| 📊 | `BarChart3` | grafico |
+| 📥 | `Download` ou `Inbox` | download |
+| 📤 | `Upload` ou `Send` | upload |
+| 🔗 | `Link` | link |
+| 📌 | `Pin` | fixar |
+| 🌟 | `Sparkles` | destaque |
+| 🎨 | `Palette` | design |
+| 🔥 | `Flame` | hot/destaque |
+| ✨ | `Sparkles` | novo/magico |
+
+## Estados visuais com Lucide (skeleton, empty, error)
+
+### Skeleton loading
+```tsx
+import { Skeleton } from "@/components/ui/skeleton";
+
+<div className="space-y-3">
+  <Skeleton className="h-4 w-3/4" />
+  <Skeleton className="h-4 w-1/2" />
+  <Skeleton className="h-32 w-full" />
+</div>
+```
+
+### Empty state
+```tsx
+import { Inbox } from "lucide-react";
+
+<div className="flex flex-col items-center justify-center py-12 text-center">
+  <Inbox className="h-12 w-12 text-muted-foreground mb-4" />
+  <h3 className="text-lg font-semibold">Nenhum projeto ainda</h3>
+  <p className="text-sm text-muted-foreground mt-1 mb-4">
+    Comece criando seu primeiro projeto.
+  </p>
+  <Button>
+    <Plus className="h-4 w-4 mr-2" />
+    Novo projeto
+  </Button>
+</div>
+```
+
+### Error state
+```tsx
+import { AlertTriangle, RotateCw } from "lucide-react";
+
+<div className="flex flex-col items-center justify-center py-12 text-center">
+  <AlertTriangle className="h-12 w-12 text-destructive mb-4" />
+  <h3 className="text-lg font-semibold">Algo deu errado</h3>
+  <p className="text-sm text-muted-foreground mt-1 mb-4">{error.message}</p>
+  <Button variant="outline" onClick={retry}>
+    <RotateCw className="h-4 w-4 mr-2" />
+    Tentar de novo
+  </Button>
+</div>
+```
+
+## Anti-patterns
+
+- Emoji em codigo gerado: `<button>👍 Aprovar</button>` — REPROVADO.
+- Texto unicode visual: `✓` em vez de `<Check />` — REPROVADO em codigo.
+- Inline SVG quando Lucide tem o icone — usar Lucide.
+- FontAwesome / Heroicons / outros — usar Lucide (one icon lib policy).
+- Icon sem `aria-label` em icon-only button — REPROVADO em a11y.
+
+## Excecoes (emoji permitido)
+
+- Output em terminal/Bash que sera lido por humano (ex: `npm run doctor`).
+- Documentacao README.md (estilo).
+- Slack messages, ClickUp comments (texto plano fora de codigo de UI).
+- Mensagens em chat enquanto agente conversa com usuario (regra global do agente — nao em codigo gerado).
+- Usuario pede explicitamente: "use emoji aqui".
+
+## Validacao automatica
+
+`ui-guardrails` checa toda task de UI:
+- [ ] Imports de `lucide-react` quando ha icone declarado?
+- [ ] Zero emoji unicode em strings de UI (regex `/[\u{1F300}-\u{1FAFF}\u{2600}-\u{27BF}]/u`)?
+- [ ] Icon-only buttons com `aria-label`?
+
+Falha em qualquer -> bloqueia codegen.

package/.gos/libraries/security-best-practices.md

@@ -0,0 +1,138 @@
+# Security Best Practices — G-OS
+
+> Checklist de seguranca aplicavel ao stack default (React + Workers + Supabase). Aplicado por `ui-guardrails`, `adr-tech-decisions` e validado por `validate-plan` quando viavel.
+
+## Principio: defense-in-depth pragmatico
+
+MVP descartavel: priorize itens **must**. Continuo: cobrir todos.
+
+## 1. Secrets e variaveis de ambiente
+
+### Must
+- [ ] **Nunca** committar `.env`, `.dev.vars`, `wrangler.toml` com secrets.
+- [ ] `.env.example` apenas com chaves vazias.
+- [ ] Workers: secrets via `wrangler secret put` (nao `vars` em wrangler.toml).
+- [ ] Pages: env vars sensiveis somente em "encrypted" no dashboard.
+- [ ] Front (Vite): apenas `VITE_*` vars publicas. **NUNCA** `service_role` Supabase no front.
+
+### Should
+- [ ] Rotation de chaves a cada 90 dias em prod.
+- [ ] Audit log de quem acessou secret.
+
+## 2. Supabase — Row Level Security (RLS)
+
+### Must
+- [ ] **RLS sempre ON** em toda tabela com dados de usuario.
+- [ ] Policy `permissive` baseada em `auth.uid()` para `select|insert|update|delete`.
+- [ ] Tabelas publicas (read-only): `policy USING (true)` em SELECT, sem INSERT/UPDATE/DELETE.
+- [ ] Frontend usa SOMENTE `anon_key`. `service_role_key` SO em Workers/Edge Functions.
+
+### Should
+- [ ] View de auditoria de RLS (ver `docs-tools/supabase/guia-rls.md` no projeto base).
+- [ ] Testes que tentam acessar dado de outro user e devem falhar.
+- [ ] `BYPASSRLS` documentado caso a caso (admin queries).
+
+### Pattern padrao para tabela "minha"
+```sql
+alter table public.<tabela> enable row level security;
+
+create policy "select_own"
+  on public.<tabela> for select
+  using (auth.uid() = user_id);
+
+create policy "insert_own"
+  on public.<tabela> for insert
+  with check (auth.uid() = user_id);
+
+create policy "update_own"
+  on public.<tabela> for update
+  using (auth.uid() = user_id)
+  with check (auth.uid() = user_id);
+
+create policy "delete_own"
+  on public.<tabela> for delete
+  using (auth.uid() = user_id);
+```
+
+## 3. Auth (Supabase)
+
+### Must
+- [ ] Magic link OU OAuth — evitar password como primary.
+- [ ] Email allowlist em projeto interno (via RLS ou Edge Function).
+- [ ] `auth.uid()` sempre referenciada no front via `supabase.auth.getUser()` (nao trust local cache).
+- [ ] Logout invalida sessao remota (`supabase.auth.signOut({ scope: 'global' })`).
+
+### Should
+- [ ] MFA (TOTP) para admin.
+- [ ] Rate limit em endpoints de auth via Supabase config.
+
+## 4. CORS & CSRF
+
+### Must
+- [ ] Workers retornam `Access-Control-Allow-Origin` SO para origens conhecidas (nao `*` em prod).
+- [ ] CSRF: tokens em forms sensiveis OU SameSite=Strict cookies.
+- [ ] Anti-clickjacking: `X-Frame-Options: DENY` em paginas auth.
+
+## 5. Inputs e validacao
+
+### Must
+- [ ] Validar todo input do usuario com Zod no front E backend (defense-in-depth).
+- [ ] SQL: usar parametrizadas (Supabase JS ja faz). NUNCA concatenar string.
+- [ ] HTML: nunca renderizar conteudo do usuario como HTML bruto — sempre sanitizar via lib dedicada (DOMPurify) antes de injetar.
+- [ ] File upload: validar mime type + tamanho server-side (em Workers ou Supabase Storage policy).
+
+## 6. Logs e observabilidade
+
+### Must
+- [ ] Nao logar PII (email, telefone, CPF) em texto plano.
+- [ ] Mascarar tokens em logs (regex `[A-Za-z0-9]{32,}` -> `***`).
+- [ ] Wrangler tail apenas em dev — desabilitar em prod.
+
+### Should
+- [ ] Sentry ou Cloudflare Logs para erros nao-tratados.
+
+## 7. Dependencias
+
+### Must
+- [ ] `npm audit` em CI (falha em high/critical).
+- [ ] Lockfile committed (`package-lock.json` ou `pnpm-lock.yaml`).
+- [ ] Atualizar deps com versao patch a cada sprint (renovate-bot opcional).
+
+## 8. Deployment
+
+### Must
+- [ ] HTTPS forced (Cloudflare ja faz por default).
+- [ ] HSTS header em paginas auth.
+- [ ] Wrangler `compatibility_date` recente (max 6 meses atras).
+
+### Should
+- [ ] Branch protection no GitHub (require PR + review + checks).
+- [ ] Preview deploys com auth (Cloudflare Access).
+
+## 9. RLS audit checklist (pre-launch)
+
+```
+[ ] Toda tabela com user data tem RLS ON?
+[ ] Toda RLS tem policy permissive baseada em auth.uid()?
+[ ] anon role consegue SELECT em tabelas publicas?
+[ ] anon role NAO consegue SELECT em tabelas privadas?
+[ ] authenticated role enxerga apenas suas linhas?
+[ ] service_role key NAO esta em codigo do front?
+[ ] Trigger updated_at em todas as tabelas?
+[ ] Constraints UNIQUE em colunas-chave (email, slug)?
+```
+
+## 10. MVP descartavel — relax permitido
+
+Quando `descartavel: true` no PRD:
+- RLS pode ser unico (todos veem tudo) se publico — declarar no ADR.
+- Auth pode ser opcional (Cloudflare Access free).
+- Sentry/observabilidade -> Cloudflare Logs nativos sao suficientes.
+- npm audit medium permitido se nao afeta runtime.
+
+## Referencias
+
+- `docs-tools/supabase/guia-rls.md` — auditoria de RLS no projeto base.
+- `docs-tools/docs/engineering/banco-dados/` — patterns de Postgres.
+- OWASP Top 10 (https://owasp.org/Top10/).
+- Supabase Hardening Checklist (https://supabase.com/docs/guides/platform/going-into-prod).