Cerebro Studio · Backlog · Changelog
Cerebro • /root/cerebro/docs/changelog/2026/CL-2026-03-19-BK-158.md • 2026-04-09T20:43:36.060Z
CerebroRioNoTeatroLegalizaRJSeuImovelEdmundo10SigaAutoBotVoneinhaUnivision OlhosTrueStay

CL-2026-03-19-BK-158 · Tratamento de segurança P0 de credenciais expostas no RNT

  • Escopo: multi-projeto
  • Projetos afetados: cerebro, rionoteatro
  • Aprovacao humana obrigatoria: nao
  • Revisor IA: auto-revisao

Resumo

  • O relatório versionado CREDENCIAIS_EXPOSTAS_RELATORIO.md foi removido da raiz do RNT.
  • O conteúdo útil foi preservado em documento sanitizado dentro de docs/seguranca/.
  • O .gitignore do RNT foi endurecido para proteger .env, .env.local e .env.*.local.
  • O BK original foi renumerado para BK-158 para evitar colisão com a frente BK-157 de visibilidade/orquestração.

Arquivos/documentos afetados

  • docs/BACKLOG.md
  • docs/LOCK.md
  • docs/CHANGELOG.md
  • docs/backlog/BK-158-tratamento-seguranca-credenciais.md
  • docs/changelog/2026/CL-2026-03-19-BK-158.md
  • docs/seguranca/credenciais-audit-20260213.md
  • rionoteatro:.gitignore
  • rionoteatro:CREDENCIAIS_EXPOSTAS_RELATORIO.md
  • rionoteatro:docs/seguranca/credenciais-audit-20260213.md

Evidencias relevantes

  • o arquivo raiz do RNT continha credenciais literais de banco, SMTP, OAuth, Algolia, WhatsApp e gateways;
  • a nova versão sanitizada substitui todos os valores reutilizáveis por marcadores ofuscados;
  • o .gitignore local do RNT passou a cobrir variações operacionais comuns de .env.

Validacoes

  • revisão manual do diff sanitizado;
  • conferência de que o relatório explícito saiu da raiz do RNT;
  • conferência de que o novo documento vive em docs/seguranca/;
  • git diff --check