• AGPL + commercial) e hardening Nuclei zero-vulns.

🤖 AI Copilot — multi-provider, RAG-grounded, redactor (5 fases)​

O Copilot do CipherVault é um assistente de segurança plugável a 4 backends LLM, com redactor obrigatório em todos os prompts (PII, secrets, tokens, IPs internos mascarados antes de sair do CV) e cost meter per-tenant com observabilidade Prometheus.

Providers suportados:

5 capabilities expostas (endpoints REST):

POST /copilot/explain-risk       { secret_id }
POST /copilot/summarize-path     { attack_path_id }
POST /copilot/validation-tasks   { vault_id, policy }
POST /copilot/chat               { messages: [...] }
POST /copilot/generate-code      { language, prompt }   ← com lint guard-rails + RAG

generateCode passa por lint pré-resposta (rejeita código com secrets hard-coded) e usa RAG vector store indexando docs do CV para respostas grounded ao produto.

UI chat widget (PR #334) — Floating button + slide-over com streaming tokens, history per-tenant, citation chips.

Opt-in via env:

export CV_COPILOT_PROVIDER=openai      # ou: azure-openai, bedrock-claude, ollama
export OPENAI_API_KEY=sk-...

Documentação completa →

💳 SaaS multi-tenant + Stripe billing (6 fases)​

CipherVault.com.br como SaaS gerenciado. Stack:

• Stripe billing foundation — products / prices / webhook handler /billing/webhook / customer→tenant mapping / subscription lifecycle
• Public signup — POST /saas/signup, email verify token, resend flow
• Tier enforcement middleware — requireTier('professional'|'enterprise') em routes feature-gated; GET /saas/tier retorna tier atual + quotas + grace period
• Operator runbook + status page scaffold
• Signup page UI — landing → Stripe Checkout → activate tenant
• Legal templates — SLA, DPA (GDPR Art. 28), ToS, Privacy Policy gerados em etc/legal/ com placeholders por jurisdição (BR LGPD + EU GDPR)

Documentação completa →

🔒 Zero-Knowledge vault opt-in (5 fases)​

Bitwarden-style E2EE para tenants regulados. Server nunca vê plaintext de secret values — só metadados (name, path, tags) e blob opaco cifrado client-side.

• Marca vaults.is_zero_knowledge=true (flag one-way; flip post-create recusado com ZK_FLAG_IMMUTABLE)
• Wire envelope: zk:v1:<algo>:<kdf>:<salt>:<iv>:<ct>:<tag>
• Algos: aes-256-gcm ou xchacha20-poly1305. KDFs: argon2id (recommended) ou hkdf-sha256
• Server-side ops impossíveis (tokenize/EaaS/encrypt/search-content) recusam com ZkBoundaryViolation HTTP 409
• SDK cliente @ciphervault/zk-sdk — browser + Node CLI cv-zk
• UI unlock flow — ZkUnlockDialog + in-memory keystore + auto-attach em SecretForm/SecretViewDialog via useVaultForSecret hook

Trade-offs explícitos (documentados em doc/ZERO_KNOWLEDGE.md):

• Search server-side limita-se a metadata
• Audit registra who/when/op nunca what/diff
• Recovery impossível se passphrase perdida — server não decriptografa

Documentação completa →

🌐 Browser Extension MV3 — Chrome + Firefox (7 fases)​

Manifest V3 native, build separado pra cada navegador:

• Secret list + search + click-to-copy com auto-clear clipboard 30s
• ZK unlock + decrypt on reveal via @ciphervault/zk-sdk no popup
• Autofill content script com campo-by-campo highlight
• Capture-on-submit — intercepta <form> submit, popup oferece salvar como secret
• Auto-lock timer configurável (idle timeout)
• Password generator com 6 perfis (alfa, alfa-num, simbólico, PIN, passphrase, custom)
• Firefox port — dist-firefox/ com browser_specific_settings

Disponível em:

• Chrome Web Store: pendente review
• Firefox AMO: pendente listing
• Self-host: build em tools/browser-extension/dist/ ou dist-firefox/

Documentação completa →

🛡️ PQC V2 — Hybrid wrap + Dual-sign + KMIP PQC (5 fases)​

Expansão sobre v4.5 PQC. Foco em híbrido sempre (clássico ⊕ post-quantum) — quebra de um algoritmo não compromete o outro.

Novos endpoints:

POST /pqc/hybrid-classical/wrap        AES-256-GCM key wrap híbrido
POST /pqc/hybrid-classical/unwrap        (RSA-OAEP-2048 ou ECDH-P256 + ML-KEM-768)

POST /pqc/dual-sign/sign               Assina simultaneamente RSA-PSS-3072 + ML-DSA-65
POST /pqc/dual-sign/verify             Verifier exige AMBAS válidas

KMIP PQC objects: clientes KMIP podem Create objetos ML-KEM + ML-DSA via TTLV — primeira implementação KMIP 1.4 com PQC no mercado open-source.

Audit Merkle checkpoint signed: snapshot horário em pqc_audit_checkpoints com RSA-PSS-3072 + ML-DSA-87 dual signature (nível highest pra audit trail compliance regulada).

Documentação completa →

🔬 Anomaly ML V2 (3 fases — shadow mode + ensemble)​

V1 (heurística baseline) continua default. V2 introduz:

• Phase 1 — null-fallback scaffold em mlV2/
• Phase 2 — shadow mode wiring + V1/V2 comparison logs
• Phase 3 — ensemble OR + V2-only modes (env CV_ANOMALY_ML_VERSION=v1|shadow|v2|ensemble)

Permite experimentação A/B do detector novo sem afetar production decisioning.

📜 Dual-licensing (Apache 2.0 + AGPL + Commercial)​

Triângulo de licenciamento pra serviar 3 perfis de adopter:

LICENSING.md é guia de decisão. NOTICE lista components AGPL opcionais.

🔐 Security hardening Nuclei (5 PRs)​

Baseline Nuclei 2026-05 zero vulns. Hardening implementado:

• CloudFront security headers policy (HSTS preload, CSP report-only → enforced, X-Frame-Options DENY, Permissions-Policy)
• DMARC TXT record + DKIM via Titan (procedure documentada)
• DNSSEC Route 53 + DS no Registro.br
• Email obfuscator JS snippet (mailto bot protection)
• Nginx local headers + ports loopback-only

⚠️ Breaking changes​

• Storage: vaults criados com is_zero_knowledge=true recusam tokenize / encrypt / search-content server-side com ZkBoundaryViolation HTTP 409. Apps que dependiam dessas ops em todos os vaults precisam checar a flag antes.
• Licensing: default mudou para Apache 2.0. AGPL agora é opt-in via LICENSE-AGPL.md. Usuários que importavam o repo sob assumption MIT/BSD devem ler LICENSING.md.
• Copilot opt-in: nenhum provider habilitado por default. Requer CV_COPILOT_PROVIDER=... + credenciais.

Atualizando​

# Self-hosted Helm
helm upgrade ciphervault ciphervault/ciphervault --version 4.8.0 \
  --reuse-values

# Migrate schema (is_zero_knowledge, pqc_audit_checkpoints, subscriptions tables)
kubectl exec deploy/ciphervault-backend -- node migrate.js up

# Copilot (opcional)
export CV_COPILOT_PROVIDER=openai
export OPENAI_API_KEY=sk-...

# Browser extension self-host
cd tools/browser-extension && npm run build         # Chrome
cd tools/browser-extension && npm run build:firefox # Firefox

Testes​

+280 testes novos. Total agora > 2180 testes.

— Rafael Martinez, CEO

Mais 4 SDKs novos (Rust, PHP, Ruby, C++) elevando o portfólio para 9 linguagens — paridade total com Bitwarden.

✨ HIBP Breach Watch (#262)​

Integração nativa com a API pwnedpasswords.com/range/:

• k-anonymity SHA-1 prefix lookup — apenas os 5 primeiros chars do hash saem do CV. Plaintext nunca leak.
• Per-prefix cache 7 dias (reduz outbound network)
• Opt-in via CV_BREACH_WATCH_ENABLED=true (default off por privacy conservatism + air-gap friendly)
• Scheduler diário; resultado materializa em secrets.breach_count

Widget UI BreachWatchWidget reaproveitado em Dashboard + Profile + SecretCard.

Documentação →

✨ One-Time Share (#263)​

Bitwarden Send / Keeper One-Time Share parity. Self-destructing links:

• Token 256-bit URL-safe gerado server-side
• TTL configurável até 30 dias
• View count (1-3 default) ou tempo (lockout primeiro a fechar)
• Revoke manual antes de TTL expirar
• Counter+timer decay visível no preview público

POST /share              { secret_id, ttl_minutes, max_views }
→ { token, share_url }

GET  /share/:token       público (sem auth) — exibe valor + decrementa view
DELETE /share/id/:id     revoga

Documentação →

✨ OIDC Issuer + AWS AssumeRoleWithWebIdentity (#261)​

CipherVault como OIDC IdP (não mais só consumer). Pulumi ESC parity real:

• Discovery em /.well-known/openid-configuration
• JWKS em /.well-known/jwks.json — EC P-256 ES256, rotate via POST /oidc/rotate
• POST /oidc/token mint de JWT pra workload identity
• AWS pode usar como OIDCProvider em IAM. App federa AWS via AssumeRoleWithWebIdentity sem static keys

# AWS-side: cria OIDC provider apontando pra CV
aws iam create-open-id-connect-provider \
  --url https://cv.acme.com.br \
  --client-id-list "sts.amazonaws.com" \
  --thumbprint-list <(curl -s https://cv.acme.com.br/.well-known/openid-configuration | jq -r .jwks_uri)

# App-side: troca JWT do CV por AWS credentials temporárias
JWT=$(curl -X POST https://cv.acme.com.br/oidc/token -H "Authorization: Bearer $CV_TOKEN" | jq -r .token)
aws sts assume-role-with-web-identity \
  --role-arn arn:aws:iam::123:role/ciphervault-fed \
  --role-session-name app1 \
  --web-identity-token "$JWT"

Documentação →

✨ Environment composition (Phase 1) (#260)​

Pulumi ESC flagship. Hierarchy + chain visualization:

• environments table — nós em árvore (parent_id)
• environment_secrets — bindings por environment
• GET /environments/:id/compose faz walk root → leaf
• Leaf-wins override sobre conflitos (com source chain pra debug)

UI em /Environments mostra tree visual + effective secrets com source highlighting (visualiza de onde veio cada secret).

production
  ↳ inherits  → base-config
      ↳ DATABASE_HOST=prod.db
      ↳ LOG_LEVEL=warn
  ↳ overrides → LOG_LEVEL=info
  effective:
    DATABASE_HOST=prod.db    [from base-config]
    LOG_LEVEL=info           [from production override]

Documentação →

✨ Endpoint Discovery scaffold (#265)​

CipherVault Guardian Phase 1 expande pra endpoints Linux:

• Agent lê /etc/passwd + /root/.ssh/authorized_keys
• Reporta accounts encontradas via POST /kube-guardian/endpoint-accounts
• Backend ingest deduplica e correlaciona com vault membership
• UI em /EndpointDiscovery lista accounts + filtros

Cobertura ampliada pra Windows / hosts não-K8s em fases futuras (closes #265 partial).

Documentação →

✨ Tier 2 SDKs codegen (#266)​

OpenAPI codegen scaffolds para 4 linguagens novas, atingindo paridade total com Bitwarden (9 SDKs):

Portfólio total: Python, Go, Node/TS, Java, C#, Rust, PHP, Ruby, C++.

✨ COMPETITIVE_MATRIX expandido (#256, #257)​

Pulumi ESC + Bitwarden + Keeper adicionados (agora 10 vendors). Nova seção "Features que CipherVault NÃO tem" (transparência) abriu 11 issues mapeando o roadmap.

Out-of-scope assumido e documentado: PAM session recording + PRA (privileged remote access) — produto separado.

Atualizando​

# Self-hosted Helm
helm upgrade ciphervault ciphervault/ciphervault --version 4.6.0 \
  --reuse-values

# Habilitar Breach Watch (opt-in)
export CV_BREACH_WATCH_ENABLED=true

— Rafael Martinez, CEO

Teste suite estabilizada: 1261/1261 passing, 87 suites verdes.

✨ Frontend UI coverage (PRs #276-#285)​

10 páginas/widgets novas:

✨ Observability — Grafana + Prometheus (#287)​

Dashboard ciphervault-overview com 12 panels:

• Leases gauges (active/expiring/expired por engine)
• Latency p50/p95/p99 por endpoint
• Multi-KM health (Local + AWS KMS + PKCS#11)
• Cache hit rate (HSM cache, JWKS cache, Lease cache)
• Replication lag (CDC checkpoint Postgres → MongoDB/MySQL)
• Phase 5 multi-region replica state
• Build info (version, commit, env)

Prometheus alerts — 9 rules:

Auto-provisioning configs em docker-compose.observability.yml:

docker compose -f docker-compose.yml \
               -f infrastructure/docker-compose/docker-compose.observability.yml up -d
# Grafana em :3001 com dashboard pré-importado, Prometheus :9090

✨ Operator runbooks (#288)​

4 novos:

• OIDC_AWS_SETUP.md — walkthrough OIDC provider → IAM trust → dynamic backend
• RLS_ACTIVATION.md — 4-phase Postgres Row-Level Security rollout (sombra → enforced → rollback drill → cleanup)
• KMIP_CLIENT_TESTING.md — pykmip examples + OASIS conformance checklist
• DR_PLAYBOOK.md — 7 recovery scenarios (region failover, KMS rotation rollback, HSM bricked, full restore from snapshot, partial corruption, network partition, master_key compromise)

🐛 Test stability (#286)​

AD/LDAP engines test isolation via lazy require de ldapjs. Eliminou 21 test failures intermitentes. Suíte agora rola 1261/1261 passing, 87 suites verdes — sem flakies.

Comparison pages (#292)​

Públicas no docs site, vs Doppler/Vault/Akeyless. Honestas sobre onde CipherVault perde (ex: maturidade ecosystem vs Vault) e onde ganha (LGPD-native, brazilian timezone support, dual-license).

DR Test Report (#291)​

Execution report do DR drill 2026-Q2 publicado em docs/dr-test-2026-q2.md. Validado RTO 12min / RPO 38s real (target: RTO 15min / RPO < 60s).

Atualizando​

helm upgrade ciphervault ciphervault/ciphervault --version 4.7.0 \
  --reuse-values

# Importar dashboard Grafana
kubectl apply -f infrastructure/observability/grafana-dashboard-cv-overview.yaml

# Importar Prometheus rules
kubectl apply -f infrastructure/observability/prometheus-alerts.yaml

— Rafael Martinez, CEO

✨ CipherVault Guardian — K8s integration v2​

Consolida 3 caminhos K8s separados (Mutating Webhook, External Secrets Operator, Sensor de cluster) sob um Helm chart único + 3 capabilities novas.

Phases entregues em 4 PRs:

1. Foundation + Discovery + Drift — Go agent (cv-guardian/, 8 packages) descobre workloads, classifica criticidade, reporta drift
2. Validating Admission Webhook — 4 rules built-in (hardcoded-secret-env, privileged-critical-secret, cross-namespace-no-binding, stale-rotation). Audit-mode default, promote → block via dual-control
3. SPIFFE/SPIRE opcional + multi-cluster federation — workload identities + cross-cluster paths

Helm chart charts/ciphervault-guardian/:

• 9 kinds renderizados em config completa
• 2 modos RBAC (namespace default + cluster opt-in para Attack Path)
• Imagem distroless UID 65532

Documentação completa →

✨ Post-quantum crypto (#142)​

Kyber KEM + Dilithium signatures (FIPS 203/204) via @noble/post-quantum. Endpoints:

• POST /pqc/kem/encapsulate / decapsulate — Kyber
• POST /pqc/sig/sign / verify — Dilithium
• POST /pqc/hybrid/* — modo híbrido (clássico ⊕ PQC), recomendado para 2026+

Documentação →

✨ Plugin SDK para secret engines (#137)​

Community-extensible. File-based discovery em CV_PLUGINS_DIR. Reference plugin em backend/plugins-example/dummy-engine/.

Permite implementar engines customizados (DBs proprietários, sistemas internos) sem fork do backend.

Documentação →

✨ Drift/anomaly detection (#146)​

Vault Radar-equivalente. Endpoints /anomalies + scheduler 24h. Detecta:

• Secrets sem rotação a > N dias
• AppConnections com IPs de regiões anômalas
• Picos de acesso fora do baseline
• Drift entre dynamic_backends reconcile e estado real do DB

Documentação →

✨ Replication CDC (#148)​

Phase 1+2 entregues:

• CDC polling Postgres → MongoDB/MySQL sinks
• 4 tabelas whitelistadas (secrets redacted, vaults, audit_logs, risk_scores)
• Failover state machine mirror ↔ promoted ↔ demoted + split-brain auto-detect
• 5 admin endpoints, promote gated por dual-control

Phase 3 — storage abstraction PoC. Foundation only; refactor completo de 200 call sites requer 6-10 sprints.

Documentação →

✨ KMIP 1.4 server (#141)​

Create / Get / GetAttributes / Activate / Revoke / Destroy via codec TTLV na porta 5696 TLS. Permite clientes legados (Java KMS, IBM Spectrum Scale, etc.) usar CipherVault sem código próprio.

Documentação →

✨ IDE plugins (#153)​

Finalmente. VS Code extension (TypeScript) + JetBrains plugin (Kotlin) com:

• Tree view dos vaults / secrets acessíveis
• CodeLens em {{cv:vault/path}} mostrando preview + clique para inserir
• Auto-detect de project root via .ciphervault.yml

Documentação →

✨ Argo CD Config Management Plugin (#152)​

CLI cv-argocd-cmp resolve placeholders {{cv:vault/path}} em manifests antes de aplicar no cluster. Sem secret estático no Argo CD, GitOps puro.

Documentação →

✨ Config inheritance + branch configs (#162)​

Vault herda secrets do parent via parent_vault_id. listResolvedSecrets com leaf-wins override. Caso de uso clássico: producao herda de base-config, mas pode sobrescrever entries específicas.

✨ PaaS push (#168)​

Push de secrets do CV para Heroku / Vercel / Netlify via API nativa. Workaround para apps deployadas em PaaS que não suportam OIDC pull.

Documentação →

✨ Secret Health Analytics (#169)​

Dashboard /analytics/health com:

• Distribuição de idade por secret
• Risk score average por vault
• Top 10 secrets nunca rotacionados
• CSV export

Documentação →

✨ Web Console admin (#154)​

Terminal admin em WebSocket /console/ws + REST /console/exec. 8 comandos whitelisted, sem shell spawn (mitigação RCE).

Documentação →

✨ Auth methods​

• AppRole (#134) — Vault-style "secret zero" (role_id + secret_id)
• HSM auto-unseal real (#147) — Vault-style. KEK encrypted-at-rest, auto-unseal via HSM provider no boot
• SCIM 2.0 (#161) — RFC 7644. Endpoints /scim/v2/Users + /scim/v2/Groups para Okta/Azure AD provisioning
• External Secrets Operator compat layer (#167) — /eso/secrets/by-id|by-name + /eso/vault/<name> para ESO webhook provider

SCIM → | ESO compat →

✨ Dynamic Secrets — 7 engines novas​

Total agora: 17 engines (postgres, mysql, aws_sts, gcp_iam, azure_sp, mongodb, mssql, cassandra, redis, rabbitmq, hcp_terraform, mongodb_atlas, alicloud_sts, ldap, ad, consul, nomad).

Dynamic Secrets →

✨ HSM PKCS#11 hardening (#140)​

Pkcs11Provider agora real via pkcs11js:

• CKM_AES_KEY_WRAP — wrapping de DEK no HSM
• sign / verify operations no HSM (não só encrypt/decrypt)
• Rotation de KEK in-place
• CI matrix com SoftHSM v2 sempre + CloudHSM/YubiHSM opt-in

HSM →

✨ Doppler migration (#170)​

CLI cv-migrate-doppler importa projects / configs / secrets do Doppler. Mapping project + config → vault.

Migração →

✨ Framework integration guides (#166)​

8 guides published no repo do produto:

• Vite, Next.js, Laravel, Django, FastAPI, Rails, Spring Boot, Express

Índice →

⚠️ Breaking changes​

• kube_guardian_policy_change action adicionada — promote de policy audit → block agora exige aprovação. Operadores que automatizam promote precisam ajustar.
• PKCS#11 Pkcs11Provider mudou de stub para real — quem usava em dev com mock implícito precisa configurar SoftHSM v2 ou similar.
• charts/ciphervault-guardian/ novo Helm chart; quem instalava webhook + ESO + sensor separadamente deve migrar pra single chart (Helm hooks fazem migration automática).

Atualizando​

# Self-hosted Helm
helm upgrade ciphervault ciphervault/ciphervault --version 4.5.0 \
  --reuse-values

# Guardian (novo Helm chart, substitui webhook+ESO+sensor)
helm install ciphervault-guardian ciphervault/guardian \
  --namespace ciphervault-system

# Migrar do Doppler (uma vez)
cv-migrate-doppler --doppler-token $DOPPLER_TOKEN --cv-url https://cv.acme.com.br

Testes​

+~250 testes novos. Total agora > 1900 testes.

— Rafael Martinez, CEO

v4.0.0 — Architectural scaffolding​

5 projetos iniciados como scaffolds para serem promovidos ao longo do dia:

• K8s Operator (#79) — Go module + 3 CRD types + controller skeletons
• Multi-region routing (#77) — middleware + tabela tenant_regions
• Confidential computing (#83) — lib/attestation.js provider abstraction (mock|nitro|sgx|sev-snp)
• K8s federation (#72) — docs/design/K8S_FEDERATION.md com decisão pull-from-CV
• CRDTs (#78) — GCounter funcional + 4 stubs

Todos promovidos para implementação real em v4.1/4.2/4.3 (vide abaixo).

v4.1.0 — K8s Operator real + AWS Nitro Enclaves​

K8s Operator​

Substitui o scaffold por implementação funcional:

• Module Go com controller-runtime v0.20
• 3 CRDs: CipherVaultSecret, CipherVaultLease, CipherVaultDynamicRole
• Reconcilers:
  • Secret — fetch + SHA256 hash drift detect + ownerRef + requeue
  • Lease — request + auto-renew threshold% + Revoke via finalizer on delete
  • DynamicRole — idempotent POST/PUT + 1h drift check
• Manager + leader election + healthz/readyz
• Manifests: 3 CRDs YAML + ClusterRole + ServiceAccount + Deployment
• Dockerfile multi-stage (golang:1.26 + distroless static, nonroot)

Documentação completa →

AWS Nitro Enclaves attestation​

lib/attestationVerify.js (320 linhas) com verifier completo:

• Decode COSE_Sign1 + payload CBOR via cbor-x
• Cert chain walk até AWS Nitro Root CA (PEM embedded validated SHA-384)
• ECDSA-P384/SHA-384 signature verify (raw → DER conversion)
• Freshness ±5min + nonce timingSafeEqual (anti-replay)
• PCR allowlist via loadExpectedPCRsFromEnv() (ATTESTATION_EXPECTED_PCR{0..N})

Endpoint: POST /attestation/verify.

v4.2.0 — CRDTs + Multi-region active-active​

CRDTs (5 tipos completos)​

lib/crdt/index.js:

lib/crdt/store.js — persistence em crdt_states (race-safe SELECT FOR UPDATE merge-on-write). lib/crdt/syncer.js — background syncer push 5s para peers via CRDT_PEERS env.

Use case implementado: audit_count — cada audit() incrementa GCounter por tenant; total cross-region em < 10s.

Multi-region​

Topologia active-active com Postgres logical replication (pub/sub):

• Tabela tenant_regions (tenant_id PK + primary_region + replica_regions[])
• lib/multiRegion.js — middleware requireRegionForwarding aplicado após auth
  • excludePaths: /auth, /admin/tenant-region, /attestation, /crdt/sync, /clusters, /health, /metrics
  • Loop detection via X-CV-Region-Origin header
  • Cache 60s TTL
• infrastructure/multi-region/setup-replication.sql — 24 tabelas replicadas; excluídas: audit_logs (CRDT cobre), dynamic_leases (region-local), crdt_states (sync próprio)
• Métricas: cv_cross_region_forwards_total, cv_replication_lag_seconds
• Failover via POST /admin/tenant-region/:id/promote gated por dual-control (tenant_region_promote action)
• Runbook completo em docs/runbooks/REGIONAL_FAILOVER.md

Documentação →

v4.3.0 — K8s Federation pull-from-CV​

Múltiplos clusters K8s consomem secrets de um plano de controle único.

Backend (Phase 1)​

• 3 tabelas: clusters, cluster_secret_policies, cluster_apply_log
• 9 endpoints REST em routes/clusters.js:
  • Admin (JWT): POST/GET/DELETE /clusters, POST/GET/DELETE /clusters/:id/policies
  • Operator (X-Cluster-Token): GET /clusters/:id/desired-state, POST /clusters/:id/status
  • Audit: GET /clusters/:id/audit
• Excluído de region-forwarding middleware (region-local)

Operator (Phase 2)​

• kubernetes/operator/controllers/federation_controller.go — FederationManager polling loop
• Leader election (1 instância pula CV por vez)
• Materializa policies como CipherVaultSecret CRDs locais → reconcilers existentes consomem
• Auto-cria namespace, label propagation, idempotent upsert
• Status report heartbeat + applied/errors back to CV
• Opt-in via env CV_CLUSTER_ID + CV_CLUSTER_TOKEN

Documentação →

Phase 3+4 deferred​

Air-gap caching incremental + kind cluster e2e tests.

v4.4.0 — Multi-TEE attestation completo​

Atestação para 3 TEEs principais:

Multi-format dispatcher​

lib/attestationVerifyMulti.js — dispatcher por format. POST /attestation/verify aceita:

• aws-nitro-cose-sign1 (default, back-compat)
• sgx-dcap-quote-v3
• amd-sev-snp-report

Mocks pra dev sem hardware​

• SGX_MOCK_QUOTE_FILE — usa quote pré-gerado
• SEV_SNP_MOCK_REPORT_FILE — idem para SEV

Limitação documentada​

signature_validated: false em SGX/SEV — verifiers parseiam structure

• measurements + nonce mas não validam ECDSA contra Intel/AMD root CA ainda. Phase 2 follow-up requer C bindings nativas.

AWS Nitro mantém validação completa.

Infrastructure​

• .github/workflows/docker-publish.yml — 6 imagens publicadas em ghcr.io/martinez1991/ciphervault-*
• Tags: :vX.Y.Z, :X.Y, :X, :latest, :main, :sha-<short>
• Multi-arch linux/amd64 + linux/arm64 (QEMU + buildx)
• SBOM + provenance + Sigstore cosign keyless signing
• infrastructure/docker-compose/docker-compose.prod.yml — overlay sem build:
• kubernetes/operator/config/manager/deployment.yaml — ciphervault-k8s-operator:v4.4.0

Security fixes​

28 Dependabot alerts fixados sem breaking changes:

path-to-regexp, flatted, picomatch, rollup, brace-expansion, dompurify, esbuild, vite, @tootallnate/once, golang.org/x/oauth2 (CVE-2025-22868), golang.org/x/net, golang.org/x/crypto.

CI Go bumped 1.25 → 1.26 — cobre 4 stdlib advisories (GO-2026-4866/4870/4946/4947).

Confidential Computing →

⚠️ Breaking changes​

• Multi-region middleware ativo após auth — endpoints com tenant_id mismatch agora retornam 307 com Location apontando para a região primária. Apps antigos podem ficar em loop se ignorarem redirect (ver excludePaths no docs).
• K8s Operator substitui o scaffold v4.0 — quem clonou o scaffold precisa re-git pull.
• Postgres logical replication exige wal_level=logical no primary (configurável via infrastructure/multi-region/setup-replication.sql).

Atualizando​

# Self-hosted Helm
helm upgrade ciphervault ciphervault/ciphervault --version 4.4.0 \
  --reuse-values

# K8s Operator (novo)
kubectl apply -f https://raw.githubusercontent.com/Martinez1991/ciphervault/main/kubernetes/operator/config/crds/

# Docker images (multi-arch)
docker pull ghcr.io/martinez1991/ciphervault-backend:v4.4.0
docker pull ghcr.io/martinez1991/ciphervault-k8s-operator:v4.4.0

Verificar SBOM:

cosign verify-blob --bundle ciphervault-backend-v4.4.0.cdx.json.bundle \
  ciphervault-backend-v4.4.0.cdx.json

— Rafael Martinez, CEO

15 issues fechadas no milestone v3.0.

✨ Highlights​

Tokenization NIST FF1 oficial​

Substituímos a implementação custom de FPE da v1.9 pela construção NIST SP 800-38G FF1 (Format-Preserving Encryption baseado em Feistel

• AES-CBC-MAC).

Por que isso importa:

• PCI-friendly — auditores reconhecem FF1; implementação custom precisava de defesa caso a caso
• Token É o ciphertext — não há lookup em DB nem tokenization_records.ciphertext separado. Detokenize é apenas decrypt
• 4 formatos com radix: ff1-decimal (radix 10, PAN/CPF), ff1-hex (radix 16), ff1-alpha (radix 26, A-Z), ff1-alnum (radix 62, A-Za-z0-9)

curl -X POST https://cv.acme.com.br/tokenization/vaults \
  -d '{ "name": "pan-prd", "format": "ff1-decimal" }'

curl -X POST https://cv.acme.com.br/tokenization/vaults/pan-prd/tokenize \
  -d '{ "values": ["4111111111111111"] }'
# tokens preservam dígitos: "9823745638291052"

Migração: vaults antigos (preserving, uuid, alphanumeric) continuam funcionando — novos vaults preferem FF1.

Secretless Proxy multi-protocolo​

Onde a v1.9 era só Postgres CleartextPassword (MVP), a v3 traz:

secretless-proxy \
  --listen :3306 \
  --upstream mysql.internal.acme.com.br:3306 \
  --protocol mysql \
  --upstream-tls --upstream-ca-file /etc/ssl/cv-internal.pem \
  --lease-pool-size 5 \
  --cv-url https://cv.acme.com.br --conn-id app_... --role-id 42

E mais:

• TLS upstream — --upstream-tls, --upstream-ca-file, --upstream-tls-skip-verify
• Lease pool client — --lease-pool-size N pré-cria leases idle, drena no shutdown (reduz RTT inicial de 100ms para ~5ms)
• Lease pool server — role.lease_reuse_max_uses + dynamic_leases.use_count, mesma (role,app) reaproveita lease com SKIP LOCKED

Workload Identity expandida​

Além dos 4 métodos da v1.8 (k8s_sa, aws_iam, gcp_iam, azure_msi):

• oidc_generic — verifyOidcToken com discovery .well-known/openid-configuration + JWKS cache 24h. Cobre HashiCorp Vault JWT auth, Okta, Auth0, qualquer OIDC compliant
• spiffe — verifySpiffeJwtSvid com trust_domain bundle. Para clusters SPIRE / Istio com SPIFFE IDs

HSM/KMS provider abstraction​

Antes a chave master vivia local (cifrada por env var). Agora há abstração com 3 providers:

# Configuração
CV_HSM_PROVIDER=aws-kms
CV_HSM_AWS_KMS_KEY_ID=arn:aws:kms:sa-east-1:123:key/abc

# Health check
curl https://cv.acme.com.br/health/hsm
# { "provider": "aws-kms", "healthy": true, "key_arn": "..." }

Dynamic Secrets — 4 engines novas​

gcp_iam agora aceita template.mode = "access_token" | "sa_key" — SA key permite TTL > 1h (cap 24h pelo CV) ao custo de não ser self-revoking.

mTLS nas engines — postgres e mysql engines aceitam config.ssl_ca, ssl_cert, ssl_key para conexão admin via mTLS.

PKI — OCSP responder + SSH CA chain​

OCSP RFC 6960 — clientes que precisam validar revogação online (navegadores, mTLS rigoroso) agora têm endpoint próprio:

POST /pki/cas/:id/ocsp     # body: OCSPRequest DER
GET  /pki/cas/:id/ocsp/:b64 # alternativa via GET

A response é BasicOCSPResponse assinada com a chave da CA.

SSH CA chain — múltiplas CAs por tenant + parent_ca_id. Permite modelar hierarquia (root CA → intermediate por unidade de negócio).

GET /ssh/cas                                      # lista CAs do tenant
GET /ssh/cas/:id/chain?format=authorized_keys     # chain pra distribuir

Roles agora têm ca_id — escolha qual CA assina certs daquela role.

K8s sidecar — reload sem restart​

Quando o sidecar detecta rotação de secret (hash-based, hash do file content):

env:
  # Sinal Unix (default SIGHUP)
  - name: CV_RELOAD_SIGNAL
    value: SIGHUP

  # OU comando arbitrário
  - name: CV_RELOAD_CMD
    value: "/usr/local/bin/reload-app"

  # Debounce (default 5s) — agrega múltiplas rotações
  - name: CV_RELOAD_DEBOUNCE_MS
    value: "5000"

Apps que suportam reload via sinal (nginx, haproxy, envoy) ou comando custom recebem trigger automático sem rolling-restart.

Observabilidade — Prometheus em todos os componentes​

Métricas Prometheus expostas (gated por env CV_METRICS_ENABLED=true):

Approvals — refinements operacionais​

• auto_fix_orphans no reconcile diário (dynamic_backends.auto_fix_orphans, default false) — drop users cv_* órfãos com idade > 24h automaticamente
• Rate limit — APPROVAL_PENDING_LIMIT_PER_HOUR (default 10), retorna 429 APPROVAL_RATE_LIMITED quando excedido
• N-de-M approval — antes 2-de-2 era fixo; agora actions: { master_key_rotate: { required_approvals: 3 } } é configurável. Tabela nova approval_signoffs com UNIQUE(approval_id, approver_id) previne duplo-sign do mesmo aprovador
• master_key_rotate endpoint implementado (era no enum mas sem rota) — re-encripta fortress_shards.wrapped_key OLD→NEW, gated por dual-control

SBOM cosign signing​

Cada release agora vem com SBOM (CycloneDX) assinado via Sigstore keyless OIDC. Anexamos .sig + .pem no GitHub Release. Permite verificação de proveniência sem chave PGP.

cosign verify-blob --bundle ciphervault-3.0.0.cdx.json.bundle \
  ciphervault-3.0.0.cdx.json

⚠️ Breaking changes​

• ssh_ca UNIQUE(tenant_id) → UNIQUE(tenant_id, name) — clientes que dependiam do limite "uma CA SSH por tenant" precisam ajustar (agora podem ter N).
• Tokenization custom (v1.9) mantida apenas para vaults existentes; novos vaults usam FF1 se você escolher os formatos ff1-*. preserving, uuid, alphanumeric continuam funcionando.

Todas migrations idempotentes:

• pki_cas.parent_ca_id
• dynamic_roles.lease_reuse_max_uses, dynamic_leases.use_count
• dynamic_backends.auto_fix_orphans
• approval_requests.required_approvals + tabela approval_signoffs
• ssh_ca UNIQUE recompostado + parent_ca_id
• ssh_signed_certs.ca_id, ssh_roles.ca_id

🧪 Tests​

25+ unit tests novos:

• secretless Go: RESP, AUTH detect, peek, lease pool
• backend: ff1.test.js, hsm.test.js
• frontend: setup vitest + jsdom + smoke do cn() helper

Roadmap pós-v3​

3 issues movidas para o novo milestone operational:

• #73 — SOC 2 evidence collection automation
• #74 — ISO 27001 Annex A controls evidence
• #75 — Pen test bounty público (HackerOne)

5 issues movidas para v4.0:

• #72 — K8s federation
• #77 — multi-region active-active
• #78 — CRDTs para eventual consistency
• #79 — K8s Operator com CRDs (não apenas Mutating Webhook)
• #83 — Confidential computing (Intel SGX / AWS Nitro)

Atualizando​

helm upgrade ciphervault ciphervault/ciphervault --version 3.0.0 \
  --reuse-values

Migration roda automática. Sem ações manuais necessárias.

# CLI
brew upgrade ciphervault-cli

# SDKs (todos bumped pra 3.0)
pip install -U ciphervault
npm install @ciphervault/sdk@latest

— Rafael Martinez, CEO

✨ Highlights agregados (v1.6.0 → v1.9.1)​

8 novos subsystems​

• Dual-control / Break-glass / Quorum (v1.6.0) — aprovação 2-de-2 em operações destrutivas e break-glass
• Dynamic Secrets (v1.7.0–1.7.2) — JIT credentials TTL ≤24h em 6 engines: Postgres, MySQL, MongoDB, AWS STS, GCP IAM, Azure SP
• SSH Certificate Authority (v1.7.3) — CA Ed25519 com certs efêmeros TTL ≤24h. Substitui authorized_keys distribuído + jumphost
• Encryption-as-a-Service (v1.7.4) — API REST /eaas/keys/:name/encrypt|decrypt, AES-256-GCM, key versioning
• Kubernetes Mutating Admission Webhook (v1.7.5) — pods anotados recebem injeção automática (init container OU sidecar) sem rolling-restart
• PKI as a Service (v1.8.0) — CAs internas role-based, RSA-2048, CRL centralizada, mTLS interno entre microserviços
• Workload Identity expandida (v1.8.0) — 4 métodos: K8s SA, AWS IAM, GCP IAM, Azure MSI
• Tokenization / FPE (v1.9.0) — 3 formatos determinísticos (preserving, uuid, alphanumeric)

Tooling completo​

• CLI Go cv (v1.8.1) — single binary, 8 grupos de comandos, output json|table|raw, pipe-friendly
• Terraform Provider oficial (v1.8.3) — 8 resources + 3 data sources usando terraform-plugin-framework v1.6+
• AdminClient em 5 SDKs (v1.8.2 + v1.9.1) — Python, Go, Node/TS, Java, C# com bindings JWT bearer pra automação. Consumer SDKs (mTLS+DPoP) inalterados

Mais​

• Secretless Proxy (v1.9.0) — Go binary starter, app conecta em localhost:5432 com user/pass arbitrários e proxy injeta cred efêmera transparentemente. MVP — apenas Postgres CleartextPassword
• Documentação operacional — HA_MULTI_REGION.md com 3 topologias + DR procedures; COMPLIANCE.md mapeando SOC 2 + ISO 27001:2022 Annex A → features

⚠️ Breaking changes​

• JWT carrega tenant_id claim — tokens emitidos antes do v1.6.0 não disparam dual-control. Re-login obrigatório na atualização
• Migration cria 13 tabelas adicionais: approval_requests, dynamic_*, ssh_*, eaas_*, pki_*, workload_identity_methods, tokenization_*, dynamic_secret_tasks
• Backend Docker image agora requer openssh-keygen (já incluído no Dockerfile oficial)

📦 O que vem a seguir​

A 2.x será uma plataforma estável. Próximos meses focados em:

• Polimento UX — flows simplificados em Approvals, EaaS, PKI
• Mais engines de Dynamic Secrets — Oracle, SQL Server, Redis, Elasticsearch
• Secretless Proxy expandido — MySQL, suporte TLS upstream, pool de leases
• Documentação para operadores — runbooks, playbooks de incidente, capacity planning
• Compliance — relatórios automatizados pra LGPD, ISO 27001 e SOC 2 com evidências geradas a partir do audit_logs

Atualizando​

Self-hosted (Helm)​

helm upgrade ciphervault ciphervault/ciphervault --version 2.0.0 \
  --reuse-values

A migration de 13 tabelas é idempotente. Re-login obrigatório para todos os usuários (tokens pré-1.6.0 não têm tenant_id).

CLI​

# Linux/macOS
brew upgrade ciphervault-cli   # ou baixar do GitHub Releases

# Windows
scoop update ciphervault-cli

SDKs​

pip install -U ciphervault              # Python 2.0.0
npm install @ciphervault/sdk@latest     # Node/TS 2.0.0
# Java/Go/C#: ver releases nos respectivos package managers

Obrigado a cada cliente, parceiro e contribuidor que tornou esta release possível. Continuamos firmes na missão de fazer do CipherVault o cofre brasileiro de referência para empresas sérias com segurança.

— Rafael Martinez, CEO

v1.6.0 — Approvals (Dual-control / Break-glass / Quorum)​

Framework completo de aprovação para operações destrutivas, configs críticas e break-glass. Estado: GA.

• Tabela approval_requests com status lifecycle, expiração, payload JSONB
• lib/approvalControl.js: middleware factory requireDualApproval(actionType, extractFn). Anti self-approval, anti cross-tenant, expiração, one-shot consumed
• lib/approvalExecutors.js: re-execução pós-aprovação para 7 actions (fortress_delete, vault_delete, mfa_disable, siem_change, rbac_change, fortress_view break-glass, export_zip break-glass)
• Routes wired: DELETE fortress secret, DELETE vault, POST fortress view, POST export-zip
• Scheduler de expiração: 30min com leader-lock
• UI: página /Approvals filtrável + painel de config + badge de pending count
• JWT carrega tenant_id claim (necessário pro guard cross-tenant)

Limitações: 2-de-2 fixo (não suporta N-de-M arbitrário); master_key_rotate no enum mas sem endpoint.

v1.7.0 → 1.7.2 — Dynamic Secrets​

JIT credentials com TTL ≤ 24h. License gate: enterprise.

Operacional: cap absoluto 24h • job de expiração 60s com leader-lock • reconcile diário pra orphans cv_* (dynamic_lease_orphan_in_backend severity critical) • rate limit token-bucket (capacity 30, refill 0.5/s) • Prometheus metrics (7 custom + default process; /metrics gated por CV_METRICS_ENABLED=true).

Sensor mode (Phase 4): tabela dynamic_secret_tasks + sensorBridge.js com poll 30s. Sensor reusa engines do backend via require relativo.

v1.7.3 — SSH Certificate Authority​

CA Ed25519 lazy-bootstrapped por tenant.

• Roles: default_principals, allowed_principals, default_ttl_sec, max_ttl_sec (cap 24h), cert_options, cert_extensions
• Endpoints: GET /ssh/ca (público), POST /ssh/roles/:id/sign (reason mín 5 chars)
• Implementação via ssh-keygen subprocess (sshpk não suporta principals/extensions OpenSSH cert)
• KRL endpoint: GET /ssh/krl

v1.7.4 — Encryption-as-a-Service​

API REST /eaas/keys/:name/encrypt|decrypt para apps cifrarem payloads sem ter chave local.

• AES-256-GCM, key versioning, AAD opcional
• Wire format: eaas:v1:{name}:{version}:{iv}:{ct}:{tag}
• DEK plaintext em cache 60s; KEK cifra DEK em DB (envelope encryption)
• Auth flexível (JWT OU X-Client-Id/Secret)
• Audit em todas operações (sem plaintext nos logs)

v1.7.5 — Kubernetes Mutating Admission Webhook + Sidecar​

• lib/k8sInjector.js: handler de AdmissionReview, gera JSONPatch RFC 6902
• Mutation strategy: + emptyDir volume tmpfs + initContainer ou sidecar (K8s 1.28+ via restartPolicy: Always) + volumeMount read-only
• 8 annotations configuráveis: inject, client-id, secrets, volume, cv-url, secret-name, refresh-interval, sidecar-image
• kubernetes/sidecar/ — Node.js binary + Dockerfile non-root (uid 65534, RO root FS)

v1.8.0 — PKI as a Service + Workload Identity expandida​

PKI​

• CAs internas nomeadas por tenant. RSA-2048 self-signed via node-forge
• Roles com policy: allowed_cn_regex, allowed_dns_regex, default_ttl_sec, max_ttl_sec (cap 90d), key_usages, ext_key_usages, is_ca
• Issuance: CSR mode OR generateKey (CV gera RSA-2048)
• CRL endpoint público: GET /pki/cas/:id/crl

Workload Identity (4 métodos)​

Endpoint POST /workload-identity/login (público) troca claim externa por JWT CV de 1h.

License feature gating​

lib/license.js: requireFeature(name) middleware + FEATURE_MIN_PLAN map (dynamic_secrets requer enterprise).

v1.8.1 — CLI Go cv​

Single binary cobrindo administração + consumo via terminal.

• 8 grupos de comandos: login, secret, lease, ssh, eaas, pki, approval
• Config: flags --url --token, env CV_URL CV_TOKEN, ou ~/.ciphervault/config.yaml (mode 0600)
• Output formats: json | table | raw (raw é pipe-friendly)
• Pipe-friendly: echo "data" | cv eaas encrypt key | cv eaas decrypt key

v1.8.2 — SDK Python AdminClient​

Novo módulo ciphervault.admin com bindings administrativos (JWT bearer). 7 sub-resources: cv.dynamic, cv.eaas, cv.ssh, cv.pki, cv.approvals, cv.workload, cv.tokenization. Consumer SDK (mTLS+DPoP) inalterado.

v1.8.3 — Terraform Provider oficial​

Provider em Go usando terraform-plugin-framework v1.6+.

• 8 resources: ciphervault_secret, ciphervault_vault, ciphervault_eaas_key, ciphervault_pki_ca, ciphervault_pki_role, ciphervault_ssh_role, ciphervault_dynamic_backend, ciphervault_dynamic_role
• 3 data sources: ciphervault_secret, ciphervault_pki_ca_cert, ciphervault_ssh_ca_pubkey
• Auth via env CV_URL + CV_TOKEN ou bloco provider explícito

v1.9.0 — Tokenization / Format-Preserving Encryption + Secretless Proxy​

Tokenization / FPE​

3 formatos: preserving (mantém char-class), uuid (v4 determinístico), alphanumeric (length match).

• Determinístico via blind index HMAC-SHA256(blind_key, value) → mesma input gera mesmo token (idempotente, permite JOIN/lookup estável em DB do app)
• AES-256-GCM ciphertext + KEK envelope. Plaintext nunca em logs
• Cross-tenant guard em todas as ops. Delete vault exige reason ≥ 10 chars
• Endpoints: POST /tokenization/vaults, POST /vaults/:id/tokenize, POST /vaults/:id/detokenize
• Tabelas: tokenization_vaults (DEK + blind_key cifrados), tokenization_records (token + ciphertext + UNIQUE em blind_index)

Secretless Proxy (Go binary, MVP)​

Sidecar local que escuta TCP, intercepta Postgres StartupMessage, pede lease no CV, conecta upstream com cred efêmera, daí byte-puro bidirecional.

• App configura conexão pra localhost:5432 com user/pass arbitrários — proxy injeta cred real
• Lease revogado em close (defer)
• Limitações MVP: só Postgres CleartextPassword auth, sem TLS upstream, sem pool de leases. Roadmap em secretless-proxy/README.md

Documentação operacional​

• docs/HA_MULTI_REGION.md — 3 topologias (single-region HA, active-passive multi-region, active-active sharded), checklist pré-prod, monitoring obrigatório, capacity planning, DR test procedures
• docs/COMPLIANCE.md — mapping completo SOC 2 Trust Services (CC6/CC7) + ISO 27001:2022 Annex A → features do produto. Auditor checklist + gaps organizacionais

v1.9.1 — AdminClient nos 4 SDKs restantes​

• sdks/go/admin.go: NewAdmin(url, token) com sub-resources Dynamic, EaaS, SSH, PKI, Approvals, Workload, Tokenization. Structs tipados (Lease, EaasEnvelope, SshCert, PkiCert)
• sdks/nodejs/src/admin.ts: AdminClient com fetch() nativo + AbortController. Tipos exportados em index.ts
• sdks/java/src/main/java/io/ciphervault/AdminClient.java: inner classes pra cada subsystem. Usa java.net.http (Java 11+, zero deps externas)
• sdks/csharp/CipherVault.Sdk/AdminClient.cs: async/await com records C# 9 + System.Text.Json

Todos seguem o mesmo contrato do Python AdminClient (v1.8.2). Consumer SDKs (mTLS+DPoP) preservados intactos.

Resumo​

Próxima parada: v2.0.0 — major release consolidando tudo.

✨ Novidades​

Self-rotation de credenciais — cloud integrations​

Padrão "create → test → delete": cria nova cred, valida que funciona, persiste, só então deleta a antiga. Se qualquer etapa antes do persist falhar, a cred atual continua intacta.

• Manual: POST /cloud-integrations/:id/rotate-credentials + botão "Rotacionar credenciais" no card
• Auto: opt-in via toggle auto_rotate. Rotação imediata após primeiro sync (queima a cred copy-paste-able) + scheduler 24h com leader lock + retry 1h em failure
• UI: badge no card mostra "auto-rotate · próxima DD/MM HH:mm", "rotação falhou" (com tooltip do reason), ou "pendente"
• Schema: auto_rotate, last_credentials_rotated_at, next_rotation_at, rotation_failed_at, rotation_failure_reason em cloud_integrations + index parcial
• Auditoria: integration_credentials_rotated (manual) e _rotated_auto / _rotation_failed (scheduler)

Não suportado (paradigmas diferentes): Azure, OCI, Huawei (lookups distintos / RSA keypairs); PAMs por design (são rotacionadores, não rotacionados).

Vault attach-secret (referência, não cópia)​

POST /vaults/:id/attach-secret { secret_id, kind, promote? }

Atribui secret/fortress existente a outro cofre por referência (mesmo id em N cofres). Rotação reflete em todos. Idempotente.

• Validações: requireVaultAccess('write') no destino + canAccessSecret na origem + env consistency (vault PRD exige promote=true pra absorver dev)
• UI: dialog reutilizável "Adicionar a outro cofre" no card de Secret e Fortress
• Decisão de design: rejeitar duplicação por valor evita rotation drift (dois secrets divergem após uma rotacionar e a outra não)

Custom rotation script (Secrets + Fortress)​

Nova platform custom_script no RotationModal com selector de linguagem:

• Shell / Python 3 / JavaScript (Node) / Java (JBang)

Textarea com placeholder contextual por linguagem; variáveis disponíveis: {{new_password}} no template + $NEW_SECRET no env. Sensor é responsável pela execução.

users.public_id UUID externo (anti-enumeration)​

IDs sequenciais em URL vazam contagem de users. Solução:

• Migration: users.public_id UUID NOT NULL DEFAULT gen_random_uuid() UNIQUE + backfill + extension pgcrypto
• GET/PUT/DELETE /users/:id aceita ambos os formatos (helper userIdClause discrimina por regex v4)
• Frontend (IAMSettings) prefere public_id em update/delete (fallback pro id int)

Aviso Fortress no SecretForm​

Banner violeta no topo do form (modo criação) direciona credenciais críticas pra Fortress; reposiciona Secrets como "staging para sync com cloud/PAM". Internal continua disponível como destino válido.

🧪 Demo-app — refatorado completo​

Era single-purpose mTLS demo (~220 linhas); agora é validador multi-tab de toda a superfície pública do CipherVault (~1500 linhas):

• 7 suites de smoke test: AppConnection (mTLS+DPoP), Auth (PAT lifecycle), Secrets CRUD, Fortress, Vaults RBAC, Audit + License, OIDC Federation (com mock issuer in-memory)
• OIDC mock issuer: keypair RSA-2048 in-memory, expõe .well-known/openid-configuration + jwks.json + endpoint utilitário /issue?sub=.... Auto-setup via PAT cria a cloud_integration oidc_custom
• Trace HTTP por teste: cada teste captura todas as requests com método/URL/status/ms + headers (Authorization sanitizado) + bodies (truncados em 5KB), renderiza em <details> expansível
• Run all: botão na home agrega pass/fail das 7 suites
• Seed: cria 50–100 (configurável) de cada entidade — vaults, secrets, fortress, integrations, app_connections, paths, users
• Cleanup: deleta tudo que o seed criou (match por prefixo seed-), ordem reversa de FKs
• Perf test: spawn N workers concorrentes por D segundos, gera relatório com p50/p95/p99 + latências por quarto da janela + detecção automática de degradação (p95(Q4) > 1.5×p95(Q1) ou error rate > 1%)

🐛 Correções​

• risk_scores.secret_id FK sem ON DELETE: bloqueava qualquer DELETE de secret com score (UI inteira). Migrado pra ON DELETE SET NULL (alinhado com leak_findings)
• Demo-app trace interceptor: callback retornava undefined, fazia testes 200/201 aparecerem como FAIL. Fix: success interceptor agora retorna res
• OIDC PROVIDER_NOT_FOUND: setup manual era passo gargalo; agora o teste de Setup auto-cria a cloud_integration via API
• Fortress rotate: test referenciava r.active_version mas endpoint retorna r.new_version — aceita ambos

🧪 Testes​

186 cases passando em 17 suites.

Migrations​

• users.public_id UUID + index único + extension pgcrypto
• cloud_integrations.auto_rotate / last_credentials_rotated_at / next_rotation_at / rotation_failed_at / rotation_failure_reason + partial index
• risk_scores.secret_id_fkey recreate com ON DELETE SET NULL (DO block idempotente)

Breaking​

Nada. Tudo opt-in: auto_rotate default OFF, attach-secret é endpoint novo, public_id complementa o id sem substituir.

✨ Novidades​

Cofres pessoais (RBAC tenant-internal)​

Cada user ganha um vault is_personal=true auto-criado em três fluxos:

1. Criação via admin (POST /users)
2. Self-signup (/auth/register)
3. Fallback no primeiro login (ensurePersonalVault)

Migration 0024_personal_vault.sql adiciona is_personal BOOL + owner_user_id INT.

Privacidade absoluta:

• Personal vault: somente o owner acessa — admin global NÃO bypassa
• Não aceita membros
• UI: badge "Pessoal" no card; botão Excluir desabilitado

Hierarquia de roles em vaults compartilhados​

Tabela vault_members(vault_id, user_id, role) com role ∈ {reader, contributor, owner}:

Lib backend/src/lib/vaultAccess.js: canAccessVault(), requireVaultAccess() middleware, listAccessibleVaultIds(), actionRequires(). Endpoints GET/POST/PATCH/DELETE /vaults/:id/members com auditoria.

Vault-aware secret/fortress access​

Lib backend/src/lib/secretAccess.js com helpers listVisibleSecretIds(), listVisibleFortressIds(), canAccessSecret().

Regras aplicadas em GET /secrets, GET /fortress, GET /:id, POST /:id/view:

• Personal vault → somente o owner
• Shared vault → membros (qualquer role)
• Orphan (sem vault) → admin OU created_by (criador acessa o que criou)

Admin perdeu bypass em shared vaults — precisa ser membro explícito; mantém apenas list (metadata) pra governance.

IAM permission-based UI gating​

• GET /auth/me/permissions resolve permissões do iam_group do user
• Catálogo de grupos vive em account_settings.iam_groups do primeiro admin do tenant (source of truth tenant-wide)
• AuthContext carrega permissions: Set + admin_bypass em paralelo ao /auth/me; expõe hasPermission(p)
• Sidebar (Layout.jsx) e abas internas de Settings escondem páginas/seções sem permissão
• Grupo padrão "User" criado automaticamente; novos users sem grupo explícito caem nele

Vault selector no Fortress create​

• POST /fortress aceita vault_id opcional, validado via canAccessVault('write') antes de cifrar
• UI CreateDialog ganha <Select> listando cofres acessíveis (pessoal marcado com ★)

Route guards no frontend​

<RouteGuard pageName=...> em App.jsx bloqueia acesso direto via URL — sem o guard, sidebar oculta mas /Fortress digitado na barra entrava. Redireciona pra /Settings (Perfil sempre liberado).

PAGE_PERMISSION exportado de Layout.jsx é a fonte de verdade compartilhada entre sidebar e router.

🐛 Correções​

• JSONB containment incorreto: vault.fortress_secret_ids armazena integers mas checks usavam operador ? (text-only). Resultado: secrets atribuídos a cofre apareciam como orphan e admin via tudo. Trocado ?::text por @> to_jsonb() (type-aware) em secretAccess.js e no UPDATE do fortress.js POST.
• iam_group resolution: lookup lia account_settings.iam_groups do user, mas catálogo vive no admin do tenant. Corrige bug onde "atribuir grupo DevOps tornava user admin".
• Personal vault edit bloqueado: disabled={vault.is_personal} no botão Editar bloqueava o owner. Removido — owner do personal pode editar metadata.
• Pepper rotation sem re-deploy: novo endpoint admin pra rotacionar FORTRESS_PEPPER em runtime, com re-encryption das versões ativas.

🧪 Testes​

181 cases passando em 16 suites. Novos:

• vaultAccess.test.js — RBAC personal/shared, hierarquia, admin bypass restrito a list
• secretAccess.test.js — orphan creator, personal isolation, fortress kind

⚠️ Breaking changes​

• Admin não acessa mais shared vaults sem ser membro explícito (exceto list de metadata). Promoção de admin para owner é via POST /vaults/:id/members por outro owner.
• Admin não vê secrets de personal vaults de outros users (privacidade absoluta).

✨ Novidades​

SSO via SAML 2.0​

• SP-initiated, IdP-initiated, Single Logout (SLO)
• AuthnRequest assinado, JIT role mapping via attributes
• Keypair SP auto-gerado no primeiro login (via node-forge)

SIEM Forwarding — 6 connectors​

Cada evento gravado em audit_logs é encaminhado automaticamente (fire-and-forget) para todas as integrações SIEM com status='connected'. Cache TTL 60s no lib/siemDispatcher.js.

Attack Path templates + What-if simulation​

/attack-paths ganha 5 colunas novas e 3 templates pré-modelados:

What-if simulation (POST /attack-paths/:id/simulate) calcula blast_radius (vaults/connections/paths/secrets afetados), time_to_compromise por credential_type e gera remediation_hints contextualizados.

Auditoria com cobertura automática​

Via makeCrud audit option em secrets, sensors, tenants, attack-paths, leak-findings, cloud-integrations + auth flow completo (login success/failure, password change, MFA, settings, personal tokens, SAML2 logout) + ciclo de vida completo de secret (push/remove cloud, rotate manual/automatic).

SDKs oficiais — 5 linguagens​

Lançados em paralelo: Python, Node.js, Java, Go, C# + cURL cookbook. Helper from_federated_token() / FromFederatedToken() em todos pra OIDC Federation.

🔄 Mudanças​

OIDC Federation refator (modelo v1.3)​

Provider config (issuer/jwks/audience) movido pra cloud_integrations (categoria CI/CD Federation). AppConnection guarda apenas oidc_enabled + oidc_subject_patterns[] + oidc_provider_ids[] (whitelist).

/federated-token agora resolve provider via JWT iss claim filtrado pela whitelist. UI FederationManager (428 linhas) substituído por OidcFederationToggle simplificado. CRUD legacy /federation-configs/* retorna 410 Gone.

Settings consolidado​

• Aba "Conta" removida; campos migrados pra Perfil (logo+nome+timezone) e Notificações (security_email)
• 3 abas (Notificações + Auditoria & Logs + Alertas) → 1 aba "Eventos & Destinos" com matriz 8×3 (events × Log/Email/Webhook)
• Backwards-compat: save espelha pros blobs legacy

UX​

• SecretForm vira wizard 2-step (destino → dados)
• IntegrationForm: dropdown gigante substituído por pills de categoria + grid de cards
• 22 emojis de provider → componente único ProviderLogo (cor brand + monograma; SVG oficial opcional via /public/logos/)
• Secrets create: 11 destinos (6 cloud + 1 on-prem + 4 PAM); destinos sem integração ficam transparentes/disabled

🐛 Correções​

• Keycloak health probe: usa management port 9000 (Keycloak 22+) em vez de 8080
• migrate.js: backticks no comentário SQL fechavam template literal JS
• OIDC save: GET /by-client agora devolve campos OIDC; estado local sincroniza com response do PUT
• Attack Path /from-template: tenant_id="default" placeholder vira NULL

🧪 Testes​

Backend ganha Jest 29 + 10 arquivos de teste, 104 cases passando. Cobertura focada em libs tocadas: federation, attackPathTemplates, siemDispatcher, saml, crud sanitize, conectores SIEM (Sentinel HMAC, QRadar LEEF, OIDC JWKS).

📚 Documentação​

• docs/FEATURES.md, docs/ARCHITECTURE.md, docs/API.md, docs/TESTING.md atualizados
• public/logos/README.md documenta como adicionar logos oficiais

Versões dos SDKs​

Todos bumped pra 1.3.0: backend, sdks/python, sdks/nodejs, sdks/java, sdks/csharp.

✨ Novidades​

Cofres (Vaults)​

Nova entidade que agrupa Secrets normais + Fortress em containers nomeados por ambiente (Dev / Hml / Staging / Prd):

• Tabela vaults com secret_ids[], fortress_secret_ids[], tags, status
• CRUD completo em /vaults + GET /vaults/collisions (secrets em múltiplos cofres)
• Validação de ambiente: vault PRD só aceita secrets PRD; secrets sem env podem ser auto-promovidos com promote=true (409 VAULT_ENV_PROMOTE_REQUIRED); hml/staging bloqueiam (409 VAULT_ENV_CONFLICT)
• Página Vaults.jsx + VaultForm.jsx com classificação visual (ok / promote / conflict / em-múltiplos)

OIDC Federation para CI/CD​

Pipelines trocam um id_token OIDC por bundle de certs fresco — zero segredo pré-compartilhado:

• Suporte a GitHub Actions, GitLab CI, CircleCI (preset automático) + Jenkins, Bamboo (via plugin OIDC) + Custom (issuer/JWKS livres)
• POST /app-connections/:id/federated-token (público, autentica via JWT) — valida signature, iss, aud, exp, iat ≤ 10min, subject pattern com wildcard seguro
• CRUD de federation_configs com 5 endpoints
• lib/federation.js com cache de JWKS (5min TTL via jwks-rsa)
• Transação FOR UPDATE na emissão — evita race em chamadas concorrentes
• UI FederationManager.jsx na página de detalhe da conexão + dialog gerador de snippet pronto pra pipeline

AppConnections — refator vault-based​

• Nova coluna vault_ids[] substituindo secret_ids[] na autorização
• Página de detalhe em URL única: /AppConnections/<client_id> (UUID, não id sequencial)
• client_secret agora prefixado com CipherVault_ — padrão tipo ghp_, sk-ant- para detecção de leaks por scanners
• GET /app-connections/by-client/:clientId — resolve por UUID
• GET /app-connections/auto-paths — lista auto-derivada de conexões × cofres × secrets
• POST /app-connections/:id/export-zip — bundle AES-256 com senha custom (archiver-zip-encrypted)
• GET /app-connections/fetch/:clientId/:vaultName/:secretName — fetch por nome (HTTP+mTLS)
• Campos novos: environment, require_dpop, concurrent_session_*, external_ca_pem
• Path aggregators agora vinculados obrigatoriamente a uma conexão, com escopo limitado (409 VAULT_OUT_OF_SCOPE)
• Dialog de Client Secret após criação (antes o valor aparecia só em toast fácil de perder)

Auditoria (refresh)​

• Novo helper lib/audit.js fire-and-forget
• 14+ actions novas: connection_*, path_*, vault_*, cert_{issued,revoked,rotated}, bundle_exported, dpop_toggled, concurrent_policy_changed, federation_*
• Frontend: coluna "Data / Hora" como primeira da tabela, formato dd/MM/yyyy HH:mm:ss, ícones/labels por 30+ actions
• Export CSV com escape correto + filename datado

Dashboard​

• Removido card "Tenants Ativos" (irrelevante pro contexto de secrets)
• Novos cards: "Rotação em dia (≤ 90d)" e "Rotação atrasada (> 90d)"

🔒 Segurança​

• OIDC Federation elimina necessidade de compartilhar client_secret com pipelines
• Prefixo CipherVault_ em client_secrets permite detecção por scanners
• Export ZIP usa AES-256 real server-side (substituiu ZipCrypto legado do JSZip)
• iat de id_tokens OIDC rejeitado se > 10min (replay window reduzida)
• Transações com row-lock previnem race em write-heavy cert operations

🐛 Correções​

• Race em cert/issue com chamadas paralelas (perdia chave no read-modify-write do JWKS) — corrigido com transação FOR UPDATE
• Castle icon faltando no import da aba Paths causava white screen
• Date field mismatch em AuditTable (log.created_date → log.created_at)
• Federation form abria com provider="github" mas issuer/jwks_url vazios — preset agora auto-aplicado
• JWKS_KEY_NOT_FOUND mostrava mensagem vazia — agora surface .cause.code/.code

📊 Swagger​

86 paths / 29 schemas documentados (antes 70 / 18).