docs(audit): análise back-end sênior 2026-05-22 (45 pgs, 50+ achados)

[adm01-debug]

Summary

Auditoria back-end sênior exaustiva (~45 páginas, 1150 linhas) do projeto promo-gifts-v4, gerada via inspeção estática + validação read-only no Supabase de produção (doufsxqlfjyuvxuezpln).

Entregue: audit/ANALISE_BACKEND_SENIOR_2026-05-22.md

Veredito

🟢 GO para produção ampla — após corrigir 3 críticos resolvíveis em ≤1 dia.

Top 3 achados críticos (P0)

ID	Severidade	Resumo	Esforço
SEC-001	🔴 CRÍTICO	ELITE_SIM_KEY = "a46c3981-…" hardcoded em _shared/auth.ts:32 e test-contract-orchestrator/index.ts:26 — Bearer token bypass total que devolve userRole='dev' + cliente service_role em ≥64 funções	S (≤2h)
SEC-002	🔴 CRÍTICO	Policy RLS frontend_telemetry_insert_anon com WITH CHECK (true) permite anon spammar a tabela com payload arbitrário — log poisoning + DoS	S (≤1h)
SEC-003	🟠 ALTO	Fallback legacy_no_auth em _shared/dispatcher-auth.ts:240-253 aceita anônimo se secret ausente — em PROD os 3 secrets estão no vault, mas clones/staging herdam fail-open	S (≤1h)

Inventário real (vs. docs internos)

Métrica	Real	Docs
Edge Functions	81	47 (README) / 50 (EDGE_FUNCTIONS.md)
Migrations no repo	708	205 (README) / 332 (DEPLOYMENT)
Migrations aplicadas	682	209 (DEPLOYMENT)
Drift real	26	"interseção zero"
Tabelas em public	269	35+
RLS coverage	100%	100% ✅
SECURITY DEFINER com search_path	100% (112/112)	— ✅

Pontos fortes confirmados

• ✅ RLS em 100% das 269 tabelas (664 policies)
• ✅ 100% das 112 funções SECURITY DEFINER com search_path setado
• ✅ Vault para 3 secrets críticos (CRON_SECRET, WEBHOOK_DISPATCHER_SECRET, CONNECTIONS_AUTO_TEST_SECRET)
• ✅ Allowlist anti-SSRF robusta (_shared/url-allowlist.ts)
• ✅ CORS strict + HSTS + CSP + X-Frame-Options aplicados via edges
• ✅ Structured logger + request-id ponta a ponta
• ✅ Circuit breaker, retry com jitter, rate-limiter persistente, bot-protection
• ✅ HMAC SHA-256 com comparação em tempo constante
• ✅ MCP server com escopo + audit-log em cada chamada
• ✅ Storage: 8/8 buckets privados
• ✅ Token revocation funcional

Estrutura do relatório

0. Sumário Executivo (top 12 + veredito + semáforo)
1. Inventário & Arquitetura (números reais auditados)
2. Segurança (Auth, RLS, Webhooks, SSRF, Secrets, CORS)
3. Banco de Dados (modelagem, drift, índices, funções)
4. Performance & Escalabilidade (RLS initplan, multiple policies, external-db-bridge)
5. Manutenibilidade (duplicação, tamanho de arquivos, testes)
6. Observabilidade & Operacionalidade (logger, Sentry, health, audit)
7. Custos (edge invocations, DB, IA)
8. Benchmarking (OWASP, Supabase, 12-Factor, SaaS B2B)
9. Roadmap Priorizado (P0/P1/P2/P3)
10. Comparativo com Auditorias Prévias
11. Anexos (queries SQL de inspeção)
12. TL;DR

Achados adicionais notáveis

• 🟠 OPS-001: 2 cron jobs (stock_mv_intelligence_refresh, stock_mv_velocity_refresh) referenciam materialized views que não existem mais (SELECT count(*) FROM pg_matviews = 0). Falham silenciosamente todo dia.
• 🟠 DOC-001: Docs internos severamente defasados (README, EDGE_FUNCTIONS.md, DEPLOYMENT.md).
• 🟠 PERF-001: 16 tabelas com auth.uid() em policies sem (select ...) — overhead linear no scale.
• 🟡 SEC-014: integration_credentials.secret_value é text plaintext (12 segredos). Confirmado via information_schema.columns.
• 🟡 OBS-001: 256 console.* no front-end fora do logger.ts; em PROD o logger silencia info/warn/debug.

Como navegar

• Para devs/ops: começar por Seção 9 (Roadmap) + TL;DR.
• Para tech lead: Seção 0 (Sumário Executivo) + Seção 2 (Segurança) + Seção 10 (vs auditorias prévias).
• Para auditores: Seção 11 (queries SQL reaproveitáveis) + cada achado tem caminho:linha + evidência.

Test plan

• Tech lead revisa os 3 P0 (SEC-001, SEC-002, SEC-003) e aprova o roadmap antes de qualquer fix
• Validar que o ELITE_SIM_KEY não foi commitado em outro repo/fork (git log --all -p -S 'a46c3981')
• Confirmar via vault que CRON_SECRET, WEBHOOK_DISPATCHER_SECRET, CONNECTIONS_AUTO_TEST_SECRET continuam setados
• Rodar query do anexo 11.1 "Cron jobs com runtime detalhado" para confirmar status dos 2 jobs órfãos
• Abrir issues separadas para cada P0/P1 conforme roadmap

Restrições aplicadas durante a auditoria

• ✅ Somente leitura — nenhuma modificação no banco, secrets ou edge functions
• ✅ MCP Supabase usado apenas em modo execute_sql SELECT (sem apply_migration, sem deploy_edge_function)
• ✅ Estimativas de custo são qualitativas — números financeiros precisam vir dos dashboards
• ✅ Cobertura: 81 funcs inventariadas, 24 públicas auditadas em detalhe, amostra qualitativa das demais

https://claude.ai/code/session_011Lgxm1NZGmAztRSvZHX9U3

---

Generated by Claude Code

---

Summary by cubic

Adds a 45‑page senior back-end audit for promo-gifts-v4 as audit/ANALISE_BACKEND_SENIOR_2026-05-22.md, with 50+ findings and a GO-to-prod recommendation after three P0 fixes. Includes a real inventory (81 edge functions, 269 tables with 100% RLS, 682 migrations, 19 crons) and a prioritized roadmap.

• Highlights
  • P0 issues: remove ELITE_SIM_KEY hardcoded bypass; fix permissive INSERT policy on frontend_telemetry; drop legacy_no_auth fallback in dispatcher/crons.
  • Ops gaps: two cron jobs reference missing materialized views; internal docs are outdated.
  • Strengths: 100% RLS coverage, 112 SECURITY DEFINER with search_path, vault-protected secrets, strict CORS/HSTS/CSP, anti-SSRF allowlist.
  • Next steps: address the 3 P0s, validate cron status, and update deployment/docs with current inventory.

^{Written for commit 4592d2c. Summary will update on new commits. Review in cubic}

Summary by CodeRabbit

• Documentation
  • Adicionado documento de auditoria abrangente do backend contendo análise de segurança, arquitetura, desempenho e recomendações priorizadas para melhorias.

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

Project	Deployment	Actions	Updated (UTC)
we-dream-big	Ready	Preview, Comment	May 22, 2026 12:35am

[coderabbitai]

Caution

Review failed

The pull request is closed.

ℹ️ Recent review info

⚙️ Run configuration

Configuration used: Path: .coderabbit.yaml

Review profile: CHILL

Plan: Pro

Run ID: 177a467e-f124-45d8-840a-87df554d9d34

📥 Commits

Reviewing files that changed from the base of the PR and between 4383445 and 4592d2c.

📒 Files selected for processing (1)

• audit/ANALISE_BACKEND_SENIOR_2026-05-22.md

---

Walkthrough

O PR publica documento de auditoria técnica detalhada do backend Supabase, inventariando arquitetura real (tabelas, edge functions, migrations, crons), reportando 3 vulnerabilidades críticas (auth bypass hardcoded, RLS permissivo, fallback legacy), operações (crons órfãos), performance (policies otimizáveis) e maturidade geral com roadmap P0-P3 e critérios bloqueadores para produção.

Changes

Auditoria Backend Senior

Layer / File(s)	Summary
Sumário Executivo e Contexto audit/ANALISE_BACKEND_SENIOR_2026-05-22.md (linhas 1–50)	Introdução do repositório, números de inventário de alto nível (tabelas, edge functions, migrations, crons), enumeração de 3 achados críticos (SEC-001, SEC-002, SEC-003) com veredito de readiness e critérios bloqueadores explícitos para GO de produção ampla.
Inventário e Arquitetura Base audit/ANALISE_BACKEND_SENIOR_2026-05-22.md (linhas 52–139)	Baseline técnico: contagem de tabelas com RLS, número de edge functions, migrações, triggers, índices, cron jobs e buckets de storage; descrição de padrões arquiteturais (Supabase, vault, SSOT, crons); distribuição de tamanho das top 10 edge functions e topologia de integrações externas.
Achados de Segurança, RLS e Validação audit/ANALISE_BACKEND_SENIOR_2026-05-22.md (linhas 143–547)	Detalhamento de vulnerabilidades: SEC-001 (chave hardcoded), SEC-002 (RLS permissivo em frontend_telemetry), SEC-003 (fallback legacy_no_auth em dispatcher/crons); análise de policies RLS/SECURITY DEFINER, coverage e search_path; proteção SSRF/allowlists, cobertura desigual de Zod; CORS e CSP via headers; edge functions sem JWT com checagem interna; hierarquia RBAC divergente e token revocation.
Banco de Dados, Performance e Manutenibilidade audit/ANALISE_BACKEND_SENIOR_2026-05-22.md (linhas 548–874)	Modelagem multi-tenant, JSONB, drift de migrations vs. documentação; índices e FKs; operacional OPS-001 (crons apontando para materialized views inexistentes) com queries de inspeção; performance PERF-001 (otimização auth.uid() em policies), PERF-002 (sobreposição); caracterização de external-db-bridge (cache, circuit breaker, retry); limites de conexões no auth server; duplicações em _shared, tamanho de arquivos, disciplina de testes; logger/structured logs, console no front-end, health checks e lacunas de runbooks/playbooks.
Roadmap Priorizado, Benchmarking e Conclusão audit/ANALISE_BACKEND_SENIOR_2026-05-22.md (linhas 876–1150)	Roadmap P0/P1/P2/P3 com severidade, esforço estimado e dependências; Custos e Benchmarking (OWASP 2021, conformidades); comparativo com auditorias prévias; TL;DR de maturidade geral; lista explícita de bloqueadores remanescentes; anexos com queries SQL de inspeção de crons, migrations, policies e snippets de correção (ex.: fix de auth bypass, consolidação de policies).

Estimated code review effort

🎯 2 (Simple) | ⏱️ ~12 minutes

Possibly related issues

• #153: O documento de auditoria inventaria explicitamente drift de migrations (supabase/migrations vs. schema de produção), desincronização de documentação e recomenda redeploy/plano de migração, abordando diretamente a dessincronização de schema descrita neste issue.

✨ Finishing Touches

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Commit unit tests in branch claude/backend-architecture-review-3mKjz

---

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[supabase]

This pull request has been ignored for the connected project doufsxqlfjyuvxuezpln because there are no changes detected in supabase directory. You can change this behaviour in Project Integrations Settings ↗︎.

---

Preview Branches by Supabase.
Learn more about Supabase Branching ↗︎.

[chatgpt-codex-connector]

💡 Codex Review

Here are some automated review suggestions for this pull request.

Reviewed commit: 4592d2c09c

ℹ️ About Codex in GitHub

Your team has set up Codex to review pull requests in this repo. Reviews are triggered when you

• Open a pull request for review
• Mark a draft as ready
• Comment "@codex review".

If Codex has suggestions, it will comment; otherwise it will react with 👍.

Codex can also answer questions or update the PR. Try commenting "@codex address that feedback".

[chatgpt-codex-connector]

Redact committed auth-bypass token from the report

This commit republishes the full ELITE_SIM_KEY value in plaintext, which turns a known vulnerability into a broadly reusable secret for anyone with repository read access. If the key is still accepted anywhere (including historical deployments, forks, or lagging environments), an attacker can send it as a Bearer token and gain elevated access; even after code fixes, leaving the literal in git history increases recovery and rotation risk. Replace the literal with a redacted placeholder everywhere in this document and rotate any related bypass secret.

Useful? React with 👍 / 👎.

[chatgpt-codex-connector]

Require all three blockers before marking production GO

The verdict says production is GO after fixing only SEC-001 and SEC-002, but the same report elsewhere states the system is not ready until SEC-003 is also resolved. This inconsistency can cause teams to stop remediation early and deploy with a documented fail-open auth fallback still present in non-prod/staging clones; align the executive verdict with the stricter three-item gate used later in the report.

Useful? React with 👍 / 👎.

[chatgpt-codex-connector]

Correct FK-index audit SQL to evaluate full key set

The FKs sem índice query only checks c.conkey[1] against pg_index.indkey, so it evaluates just the first FK column and can misclassify composite foreign keys (both false positives and false negatives). Because this SQL is presented as a reusable inspection query, it can drive incorrect index decisions and miss genuine performance issues; it should compare the full FK column list/order to index definitions.

Useful? React with 👍 / 👎.

[chatgpt-codex-connector]

Fix cron-rate math before using it for cost planning

The hourly estimate is overstated because daily × 11 is treated as 11 calls per hour, but those jobs run 11 times per day (~0.46/hour). With the listed frequencies, the cron total is about 52.5 calls/hour, not 138/hour, so this number can materially skew capacity and cost conclusions in the same section.

Useful? React with 👍 / 👎.

[chatgpt-codex-connector]

Resolve contradictory auth status for crm-db-bridge

This row marks crm-db-bridge as auth-confirmed, but later SEC-009 says its auth path was not fully reviewed (lido somente até linha 120) and still needs validation. That contradiction weakens prioritization by simultaneously treating the same endpoint as both verified and unverified; the table and the narrative should agree on the unresolved status.

Useful? React with 👍 / 👎.