legacy-squad 1.0.0-beta.2 → 1.0.0-beta.3

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
Files changed (2) hide show
  1. package/README.md +18 -16
  2. package/package.json +1 -1
package/README.md CHANGED
@@ -33,7 +33,7 @@ Legacy Squad combina **análise determinística** (scanner + compliance engine c
33
33
  |----------|-----------|
34
34
  | **Repo Index** | Inventário completo: stack, módulos, dependências, integrações, hotspots |
35
35
  | **Findings** | Achados de segurança com evidência, impacto, referência OWASP e recomendação |
36
- | **Security Assessment** | Análise profunda de autenticação, secrets, LGPD, API security |
36
+ | **Security Assessment** | Análise profunda de autenticação, secrets, LGPD/GDPR, API security |
37
37
  | **Architecture Assessment** | Mapeamento C4, acoplamento, riscos estruturais, arquitetura alvo |
38
38
  | **Legacy Code Assessment** | Hotspots, migração JS→TS, duplicação, cobertura de testes |
39
39
  | **Business Rules Assessment** | 60+ regras extraídas do código, preservation checklist |
@@ -182,9 +182,9 @@ seu-projeto/
182
182
 
183
183
  ### Security Agent (`/legacy-squad-security`)
184
184
 
185
- Analisa autenticação, secrets, armazenamento inseguro, exposição de PII e conformidade LGPD.
185
+ Analisa autenticação, secrets, armazenamento inseguro, exposição de PII e conformidade com leis de privacidade (LGPD, GDPR).
186
186
 
187
- **Referências:** OWASP MASVS V2, OWASP ASVS, CWE Top 25, LGPD, NIST SSDF
187
+ **Referências:** OWASP MASVS V2, OWASP ASVS, CWE Top 25, LGPD, GDPR, NIST SSDF
188
188
 
189
189
  ### Architecture Agent (`/legacy-squad-architecture`)
190
190
 
@@ -242,7 +242,7 @@ O scanner roda automaticamente regras determinísticas baseadas em OWASP e CWE:
242
242
  | SEC-CRED-001 | Credenciais hardcoded | OWASP MASVS, CWE-798 |
243
243
  | SEC-CRED-002 | Keystores/certificados no repositório | OWASP MASVS, CWE-312 |
244
244
  | SEC-LOG-001 | Console.log ativo em produção | CWE-532 |
245
- | SEC-LOG-002 | PII (CPF) em logs/external services | CWE-532, LGPD |
245
+ | SEC-LOG-002 | PII (CPF, SSN, IDs) em logs/external services | CWE-532, LGPD/GDPR |
246
246
  | SEC-ERR-001 | Catch blocks vazios | CWE-390 |
247
247
  | SEC-STORE-001 | Token em AsyncStorage | OWASP MASVS |
248
248
  | CQ-MIX-001 | JS e TS misturados | Clean Code |
@@ -266,21 +266,23 @@ Todo achado inclui: evidência (arquivo, linha, snippet), impacto, referência t
266
266
 
267
267
  ---
268
268
 
269
- ## Caso de Uso Real
269
+ ## Validated in Production
270
270
 
271
- O framework foi validado contra um **app mobile React Native em produção** (cooperativa de saúde, 18k+ linhas, 98 dependências, transações financeiras reais):
271
+ The framework was validated against a **production mobile app** (~18k lines of code, 98 dependencies, real financial transactions):
272
272
 
273
- **Compliance Engine (determinístico):** 7 findings por pattern matching
273
+ **Compliance Engine (deterministic):** 7 findings via pattern matching
274
274
 
275
- **Agentes (IA via Claude Code):** +43 findings adicionais, incluindo:
276
- - Credenciais de service account decodificadas (OAuth Base64 client:secret)
277
- - Flag no Firebase que bypassa 100% da autenticação em produção
278
- - Senha de cooperado gravada em texto plano no Firebase Realtime Database
279
- - CPF usado como chave primária no Firebase (enumerável)
280
- - Session recording capturando dados financeiros e médicos sem consentimento
281
- - 63 regras de negócio extraídas (11 implícitas)
282
- - Bug potencial em cálculo de vencimento de boleto
283
- - Roadmap de 36 semanas com scores: Deployability 3→9/10, Readiness 22→87/100
275
+ **AI Agents (via Claude Code):** +43 additional findings, including:
276
+ - Service account credentials decoded from Base64 in source code
277
+ - Remote config flag capable of bypassing all authentication in production
278
+ - User passwords logged in plaintext to a cloud database
279
+ - PII used as primary key in a cloud database (enumerable)
280
+ - Session recording capturing sensitive data without user consent
281
+ - 63 business rules extracted from code (11 implicit, never documented)
282
+ - Potential bug in a date calculation affecting core business logic
283
+ - 36-week modernization roadmap with scores: Deployability 3→9/10, Readiness 22→87/100
284
+
285
+ **Total:** 50 findings across 5 pillars, from a single `npx legacy-squad install` + 6 agent activations.
284
286
 
285
287
  ---
286
288
 
package/package.json CHANGED
@@ -1,6 +1,6 @@
1
1
  {
2
2
  "name": "legacy-squad",
3
- "version": "1.0.0-beta.2",
3
+ "version": "1.0.0-beta.3",
4
4
  "description": "AI-Powered Legacy Modernization Platform — Install-first, IDE-native, evidence-driven framework that transforms legacy systems into modernization-ready assets.",
5
5
  "keywords": [
6
6
  "legacy",