Adicionar políticas de segurança e automação de dependências#12
Adicionar políticas de segurança e automação de dependências#12albertomandlate merged 8 commits intomainfrom
Conversation
Inclui o arquivo CLAUDE.md com orientações detalhadas para uso do Claude Code no repositório. O documento cobre visão geral do projeto, comandos de build, testes, execução da API, uso de Docker, geração de SDKs, arquitetura dos diretórios, pontos de extensibilidade, convenções de código (com nomes em português) e estratégia de branches baseada em GitHub Flow. Facilita a colaboração, automação e padronização no desenvolvimento do toolkit de reconciliação bancária.
- SECURITY.md: Guia completo de segurança com procedimentos de divulgação responsável, boas práticas para dados sensíveis, validação de entrada e conformidade regulatória - .github/dependabot.yml: Configuração de automação Dependabot para monitorar dependências NuGet, Docker e GitHub Actions com agrupamento inteligente Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
There was a problem hiding this comment.
Pull request overview
Adiciona documentação e configuração para reforçar segurança operacional do repositório e automatizar actualizações de dependências.
Changes:
- Adiciona uma política de segurança em
SECURITY.mdcom processo de disclosure e recomendações de hardening. - Introduz configuração do Dependabot para NuGet/Docker/GitHub Actions em
.github/dependabot.yml. - Adiciona
CLAUDE.mdcom orientações de desenvolvimento/arquitectura para o Claude Code.
Reviewed changes
Copilot reviewed 3 out of 3 changed files in this pull request and generated 9 comments.
| File | Description |
|---|---|
| SECURITY.md | Nova política de segurança e boas práticas para uso/integração do BridgeBank. |
| .github/dependabot.yml | Automação de updates de dependências (NuGet/Docker/Actions) via Dependabot. |
| CLAUDE.md | Guia de comandos, arquitectura e convenções para assistência de tooling (Claude). |
| # CLAUDE.md | ||
|
|
||
| Este ficheiro fornece orientação ao Claude Code (claude.ai/code) quando trabalha com o código neste repositório. | ||
|
|
||
| ## Sobre o Projecto | ||
|
|
||
| Toolkit .NET 10 open-source para reconciliação bancária em sistemas ERP moçambicanos. Publicado como pacotes NuGet (`Simansoft.BridgeBank.*`) e imagem Docker. Expõe também uma API REST com SDKs gerados para Python, TypeScript e Java. | ||
|
|
There was a problem hiding this comment.
O PR descreve apenas a adição de SECURITY.md e dependabot.yml, mas este ficheiro (CLAUDE.md) também está a ser introduzido. Actualize a descrição do PR para reflectir esta mudança adicional, ou mova CLAUDE.md para um PR separado se estiver fora do escopo.
|
|
||
| ## Processo de Divulgação | ||
|
|
||
| 1. **Recepção:** Acknowledgeamos a recepção do relatório dentro de 48 horas |
There was a problem hiding this comment.
A frase mistura inglês com português (“Acknowledgeamos”). Para manter a política clara/profissional, substitua por português correcto (ex.: “Confirmamos/Acusamos a recepção do relatório dentro de 48 horas”).
| 1. **Recepção:** Acknowledgeamos a recepção do relatório dentro de 48 horas | |
| 1. **Recepção:** Confirmamos a recepção do relatório dentro de 48 horas |
| Se o seu sistema processa dados pessoais (ex: NUIT, nomes), cumpra: | ||
|
|
||
| - **LEI MOÇAMBICANA DE PROTEÇÃO DE DADOS** (se aplicável) | ||
| - **RGPD** (se utilizadores da EU) |
There was a problem hiding this comment.
“EU” em português normalmente é “UE” (União Europeia). Ajustar evita confusão em documentação de conformidade.
| - **RGPD** (se utilizadores da EU) | |
| - **RGPD** (se utilizadores da UE) |
| Para questões de segurança confidenciais, entre em contacto com: | ||
|
|
||
| - **Email:** [segurança do projecto] | ||
| - **GitHub Security Advisory:** [Reportar via GitHub](https://github.com/SimansoftMZ/BridgeBank/security/advisories) |
There was a problem hiding this comment.
O contacto de segurança está como placeholder (“[segurança do projecto]”). Para a política ser accionável, defina um email real (ou remova a opção de email e mantenha apenas GitHub Security Advisory).
| dependency-type: | ||
| patterns: | ||
| - "dependency-type:production" | ||
| - "dependency-type:development" |
There was a problem hiding this comment.
Os padrões de agrupamento definidos aqui não correspondem a nomes reais de pacotes NuGet do repo (ex.: NPOI, Microsoft.ML, etc.), então as actualizações não serão agrupadas como pretendido. Ajuste os groups para usar padrões que casem com IDs de pacotes (ou a abordagem suportada pelo Dependabot para separar produção vs desenvolvimento).
| dependency-type: | |
| patterns: | |
| - "dependency-type:production" | |
| - "dependency-type:development" | |
| dependencias-nuget: | |
| patterns: | |
| - "*" |
| labels: | ||
| - "dependencies" | ||
| - "chore" | ||
| # Auto-merge para patches e minor versions |
There was a problem hiding this comment.
O comentário diz “Auto-merge para patches e minor versions”, mas esta secção (allow) apenas filtra quais dependências podem ser actualizadas; não activa auto-merge por si só. Para evitar confusão operacional, ajuste o comentário ou documente onde/como o auto-merge é efectivamente configurado (ex.: regras do repositório/workflow).
| # Auto-merge para patches e minor versions | |
| # Permitir apenas actualizações de dependências de desenvolvimento e indirectas |
|
|
||
| - **Não envie segredos** — Revise seus commits antes de push; evite expor chaves, tokens ou dados sensíveis | ||
| - **Testes de segurança** — Teste casos extremos e entrada malformada | ||
| - **Dependências** — Use versões knowns de bibliotecas; revise `csproj` para dependências desatualizadas |
There was a problem hiding this comment.
Há um anglicismo/erro (“knowns”) no meio de uma frase em português. Troque por “conhecidas” (ou outra formulação em português) para evitar ambiguidade.
| - **Dependências** — Use versões knowns de bibliotecas; revise `csproj` para dependências desatualizadas | |
| - **Dependências** — Use versões conhecidas de bibliotecas; revise `csproj` para dependências desatualizadas |
|
|
||
| | Versão | Assunto | Data | | ||
| |--------|---------|------| | ||
| | 1.0.0+ | Versão inicial | [data] | |
There was a problem hiding this comment.
O histórico de versões contém um placeholder (“[data]”). Se não houver data real, considere remover a linha/tabela ou preencher com uma data concreta para evitar informação incompleta em release/políticas.
| | 1.0.0+ | Versão inicial | [data] | | |
| | 1.0.0+ | Versão inicial | 2026-04-16 | |
| # Monitorar dependências Docker | ||
| - package-ecosystem: "docker" | ||
| directory: "/" | ||
| schedule: |
There was a problem hiding this comment.
A configuração Docker está a apontar para directory: "/", mas o Dockerfile do projecto está em src/BridgeBank.Api/Dockerfile. Assim, o Dependabot pode não actualizar a imagem base (mcr.microsoft.com/dotnet/*) usada pela API. Considere adicionar uma entrada separada para package-ecosystem: docker com directory: "/src/BridgeBank.Api" (mantendo outra para o docker-compose.yml na raiz, se desejado).
|
@copilot apply changes based on the comments in this thread |
Agent-Logs-Url: https://github.com/SimansoftMZ/BridgeBank/sessions/95fa79cc-c17a-4a95-8ba2-ba7301146ab8 Co-authored-by: albertomandlate <14326204+albertomandlate@users.noreply.github.com>
Apliquei as alterações pedidas no thread no commit |
|
@copilot apply changes based on the comments in this thread |
Agent-Logs-Url: https://github.com/SimansoftMZ/BridgeBank/sessions/88e06d28-a00e-4ae8-afa0-7444346d2df5 Co-authored-by: albertomandlate <14326204+albertomandlate@users.noreply.github.com>
Agent-Logs-Url: https://github.com/SimansoftMZ/BridgeBank/sessions/88e06d28-a00e-4ae8-afa0-7444346d2df5 Co-authored-by: albertomandlate <14326204+albertomandlate@users.noreply.github.com>
Agent-Logs-Url: https://github.com/SimansoftMZ/BridgeBank/sessions/88e06d28-a00e-4ae8-afa0-7444346d2df5 Co-authored-by: albertomandlate <14326204+albertomandlate@users.noreply.github.com>
Agent-Logs-Url: https://github.com/SimansoftMZ/BridgeBank/sessions/88e06d28-a00e-4ae8-afa0-7444346d2df5 Co-authored-by: albertomandlate <14326204+albertomandlate@users.noreply.github.com>
Agent-Logs-Url: https://github.com/SimansoftMZ/BridgeBank/sessions/88e06d28-a00e-4ae8-afa0-7444346d2df5 Co-authored-by: albertomandlate <14326204+albertomandlate@users.noreply.github.com>
Aplicado no thread com os commits |
Resumo
Adiciona duas novas camadas de segurança ao projecto BridgeBank:
O que mudou
SECURITY.md (novo)
.github/dependabot.yml (novo)
Por quê
O BridgeBank processa dados bancários sensíveis, tornando a segurança crítica:
Para Reviewers
🔒 Segurança em Primeiro Lugar