Importação inicial do projeto Shivão (Diário de Bordo do veleiro) em estado
pronto pra produção, já incluindo as 5 mudanças de hardening implementadas
pela squad shivao-melhoria em 2026-04-27.
Mudanças de hardening (HANDOFF.md seção "✅ Pronto"):
1. **Rate limiting nos 3 endpoints públicos de share**
- express-rate-limit ^8.4.1, 60 req/min/IP
- server/src/index.js linhas 38, 262, 271, 279
2. **Tamanho de upload reduzido pra 50MB** (era 200MB)
- multer linha 84
3. **Validação Zod nos endpoints autenticados** (POST /api/data e /zones)
- novo arquivo server/src/schemas/index.js
- middleware validate() retorna 400 com top 5 issues
4. **Audit log de ações sensíveis**
- nova tabela audit_log + funções db.audit() e db.recentAudit()
- 6 endpoints instrumentados (state_set, media_insert/delete, share_create/revoke/zones_update)
- novo endpoint GET /api/audit (autenticado)
5. **Catch silencioso de webhook em zona PROIBIDA tratado**
- app/diario-bordo.html + server/public/index.html linha 3280
- agora loga erro + exibe toast ao usuário
Status final do HANDOFF:
- 🔴 Críticos restantes: 1 (CORS — decisão consciente single-tenant, não-acionável)
- 🟡 Importantes: 4 itens (testes, vigia reconnect, refator frontend, demais catches)
- 🟢 Bom-ter: 5 itens
Stack: Node 20 ESM + Express + better-sqlite3 + Docker (Coolify)
Single-tenant pessoal · single-file frontend HTML · offline-first
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
