chore(redeploy-fase1): sincroniza 6 migrations órfãs aplicadas via MCP

[adm01-debug]

Summary

Auditoria do redeploy Fase 1 (T13–T17) descobriu 8 migrations aplicadas no banco produção via MCP apply_migration sem .sql versionado no repo. Esta PR sincroniza 6 das 8 e documenta 2 gaps que exigem decisão humana.

Reduz o desync chronic flagado pela PR #154 ("supabase/migrations and prod db are 100% desync").

Sincronizadas (6)

Version	Nome	Origem do SQL	Tamanho
20260511200038	create_painel_cotacoes_schema	Cópia fiel	105 linhas
20260512163615	onda3_tracking_e_nf	Cópia fiel	101 linhas
20260512163629	onda3_storage_recibos	Cópia fiel ⚠️ bucket público flagado	46 linhas
20260512164738	onda3_simplifica_nf_e_retry	Cópia fiel	34 linhas
20260512201500	t15_fix_system_health_dashboard_exposure	Cópia fiel	23 linhas
20260512201600	t16_move_backup_tables_to_schema_backup	Reconstruído (schema_migrations só tinha summary) — lista das 17 tabelas vem de pg_tables WHERE schemaname='backup'	59 linhas

NÃO sincronizadas — 2 GAPs documentados

Gap A — create_painel_users (segurança)

Senha default Promo@2026! em plaintext + 4 usuários reais. Repo público = exposição. Precisa decisão do sponsor entre 3 opções (ver docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md).

Gap B — t17_fix_function_search_path_mutable_22_funcs

Entrada em schema_migrations é só summary "ALTER FUNCTION ... (22 funcoes)" — não SQL. Não há como saber as 22 funções específicas sem o histórico do advisor pré-T17. Precisa decisão do sponsor entre 3 opções no doc.

Comportamento esperado pós-merge

• Produção: nada muda. Todas as migrations já estão aplicadas. Os arquivos do repo agora têm SQL real para o caso de rebuild de outro ambiente.
• supabase db reset (dev):
  • T15 + T16 são idempotentes → re-fixam o que já está fixo.
  • Sem Gap A → dev não terá os 4 usuários do painel (esperado, criar via seed dedicado se necessário).
  • Sem Gap B → dev pode ter 0–22 funções com search_path mutável (advisor pode acender warnings). Aceitável — não bloqueia.

Test plan

• 6 arquivos .sql criados em supabase/migrations/
• Cada arquivo tem cabeçalho explicando origem do SQL (fiel vs reconstrução)
• T16 idempotente (uso de DO $$ ... IF EXISTS ...)
• Lista de 17 backup tables em T16 validada contra pg_tables WHERE schemaname='backup'
• Doc docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md cria-do com 3 opções por gap
• Lint baseline gate passou no push (atual: 1533 · baseline: 1547, drift positivo)
• Gitleaks scan no diff (a confirmar pelo CI)

Próximos passos

Após merge:

1. Sponsor decide entre as 3 opções de cada gap (doc tem o framework).
2. Eventual PR follow-up para Gap A (com senha rotacionada/placeholder).
3. Eventual PR follow-up para Gap B (com lista real das 22 funções via análise histórica).

Refs: #154

---

Generated by Claude Code

Summary by CodeRabbit

• New Features

  • Painel de cotações com rastreamento de entregas e gestão de notas fiscais
  • Armazenamento de recibos de entrega

• Bug Fixes

  • Corrigido acesso restrito ao dashboard de saúde do sistema
  • Melhorias de segurança em validações de dados e controle de acesso

• Documentation

  • Documentação de incidente de exposição de credenciais e procedimentos de rotação
  • Documentação de sincronização de migrações de banco de dados

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

Project	Deployment	Actions	Updated (UTC)
promo-gifts	Ready	Preview, Comment	May 12, 2026 10:33pm

[coderabbitai]

Caution

Review failed

The pull request is closed.

ℹ️ Recent review info

⚙️ Run configuration

Configuration used: Path: .coderabbit.yaml

Review profile: CHILL

Plan: Pro

Run ID: 85a144fd-6031-460b-b6f9-6c4ad5a92ea1

📥 Commits

Reviewing files that changed from the base of the PR and between b3f0141 and 0ee2aa0.

📒 Files selected for processing (10)

• docs/INCIDENTS/2026-04-env-exposure.md
• docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md
• supabase/migrations/20260511200038_create_painel_cotacoes_schema.sql
• supabase/migrations/20260511200056_create_painel_users.sql
• supabase/migrations/20260512163615_onda3_tracking_e_nf.sql
• supabase/migrations/20260512163629_onda3_storage_recibos.sql
• supabase/migrations/20260512164738_onda3_simplifica_nf_e_retry.sql
• supabase/migrations/20260512201500_t15_fix_system_health_dashboard_exposure.sql
• supabase/migrations/20260512201600_t16_move_backup_tables_to_schema_backup.sql
• supabase/migrations/20260512210000_t17_fix_function_search_path.sql

---

Walkthrough

O PR sincroniza 6 migrações SQL faltantes de produção, adiciona a feature "Painel de Cotações" com schema, usuários, tracking NF, eventos e storage; e aplica hardening de segurança em view de dashboard, backup tables e funções públicas. Inclui documentação de incidente .env exposure P0 e redeploy Fase 1.

Changes

Painel de Cotações - Feature Completa

Layer / File(s)	Summary
Schema base: tabela cotacoes com RLS e policies supabase/migrations/20260511200038_create_painel_cotacoes_schema.sql	Cria public.cotacoes com ownership, transporte, pricing, snapshots JSON e status. Trigger tg_set_updated_at() para auditoria. RLS: SELECT autenticados, INSERT self-owned, UPDATE owner/admin, DELETE bloqueado. Índices em created_at, user_id, status, transportadora_escolhida.
Bootstrapping de usuários painel supabase/migrations/20260511200056_create_painel_users.sql	Script PL/pgSQL idempotente que itera sobre lista hardcoded de emails (admin/cotação), verifica duplicação em auth.users, gera UUID aleatório, insere com senha bcrypt aleatória (força reset), metadados e identidade provider email. NOTICE por usuário.
Extensão: tracking NF, eventos e índices supabase/migrations/20260512163615_onda3_tracking_e_nf.sql	Estende cotacoes com campos NF (numero_nf, chave_nf, data_emissao_nf, data_coleta, data_prevista, data_entrega, protocolo_atual, ultimo_evento/em, recibo_url, tracking_ativo, proxima_consulta_em). Relax chave_nf_check para padrão 44-dígitos. Whitelist status values. Índices parciais para tracking ativo e campos não-nulos. Backfill protocolo_atual de numero_cotacao. Cria public.cotacao_eventos com FK cascade, dedup index (cotacao_id, descricao, ocorrido_em). RLS: SELECT authenticated, INSERT authenticated+service_role, DELETE bloqueado.
Simplificação NF & retry tracking cron supabase/migrations/20260512164738_onda3_simplifica_nf_e_retry.sql	Relax chave_nf_check para NULL/empty OU 44-dígitos. Colunas retry: tracking_ultima_tentativa, tracking_ultimo_sucesso, tracking_falhas_seguidas (default 0), tracking_ultimo_erro. Índice partial idx_cotacoes_cron_scan em tracking_ultima_tentativa filtrado por tracking_ativo=true e status whitelist. Comment descreve counter consecutivo.
Storage bucket para recibos-entrega supabase/migrations/20260512163629_onda3_storage_recibos.sql	Bucket recibos-entrega com public=true, limite 10MB, MIME types (JPEG/PNG/WebP/PDF). RLS: recibos_public_read (SELECT público), recibos_authenticated_write (INSERT auth+service_role), recibos_authenticated_update (UPDATE auth+service_role). DELETE bloqueado.

Hardening de Segurança & Infraestrutura

Layer / File(s)	Summary
Fix exposição view system_health_dashboard supabase/migrations/20260512201500_t15_fix_system_health_dashboard_exposure.sql	Altera public.v_system_health_dashboard para security_invoker=true (executa com permissões caller, força RLS em auth.users). Revoga privilégios de anon e authenticated, restringindo acesso a non-anon/non-authenticated (ex: service_role).
Move backup tables para schema isolado supabase/migrations/20260512201600_t16_move_backup_tables_to_schema_backup.sql	Cria schema backup. Loop idempotente sobre 17 _backup_* tables: move de public para backup via dynamic SQL, loga success/skip. Revoga privilégios em backup de anon, authenticated, PUBLIC. Concede USAGE a postgres e service_role.
Enforça search_path seguro em funções públicas supabase/migrations/20260512210000_t17_fix_function_search_path.sql	PL/pgSQL block que seleciona funções em schema public owned by postgres sem search_path em proconfig. Altera cada uma para SET search_path = public, conta sucessos/skipped, emite NOTICE/WARNING. Idempotente. Exclui supabase_admin.

Documentação: Incidente .env + Redeploy Fase 1

Layer / File(s)	Summary
Documentação incidente exposição .env 2026-04 docs/INCIDENTS/2026-04-env-exposure.md	Stub permanente P0 de exposição .env. Seções: timeline com __PENDING__, tabela credenciais por sistema (Supabase/n8n/Bitrix24/Evolution/Vercel), checklist rotação por sistema, lições aprendidas, verificação automática, referências (Issue #76, Decision 012, PRs #154/#162/#164).
Documentação sincronização migrações Fase 1 docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md	Auditoria: 8 migrações em produção sem .sql no repo. Documenta 6 sincronizadas (versão/nome, origem/derivação SQL). 2 gaps abertos requerendo decisão sponsor (Gap A: afeta usuários, Gap B: reconstrução data loss). DoD: arquivos, idempotency, data/table checks, lint/regression/secrets. Pós-merge: supabase db reset em dev (gaps desaparecem), prod (inconsistências persistem).

Estimated code review effort

🎯 4 (Complex) | ⏱️ ~60 minutes

Análise de complexidade:

• Lógica densa & variada: 8 migrações SQL heterogêneas cobrindo schema, RLS policies, triggers, índices, data backfill, storage, hardening de segurança e funções dinâmicas com DO $$ blocks.
• Múltiplos padrões: criação de tabelas+RLS, extensão com constraints/índices/dedup, bootstrap de usuários com idempotência, storage buckets, schema migration dinâmica, fix de segurança invoker, search_path enforcement.
• Scope & interdependências: feature coeso (painel com 5 migrations interdependentes) + 3 migrations hardening paralelas + 2 docs. Requer validação de RLS, dedup logic, idempotency, security implications.
• Mudanças de segurança críticas: revoke de privilégios, RLS policies, storage access control, search_path, invoker security—exige review cuidadosa de gaps e regressions.

Possibly related issues

• [Discussion] supabase/migrations/ e banco Supabase estão completamente desincronizados (zero intersecção) #153: Sincronização de migrações de produção vs. repo (overlap direto com as 6 migrações sincronizadas neste PR, incluindo 20260512164738_onda3_simplifica_nf_e_retry).
• 🚨 P0: Rotacionar credenciais expostas (Supabase + n8n + Bitrix24 + Evolution) #76: Credential rotation P0 para .env exposure — documentação de incidente e checklist de rotação (docs/INCIDENTS/2026-04-env-exposure.md) diretamente responde a rastreamento dessa issue.

Possibly related PRs

• adm01-debug/Promo_Gifts#75: Runbook P0 de credential rotation para .env exposure com checklists Supabase/n8n/Bitrix24/Evolution/Vercel—overlap direto com documentação de incidente adicionada neste PR.

✨ Finishing Touches

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Commit unit tests in branch claude/sync-orphan-migrations-fase1

---

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[chatgpt-codex-connector]

💡 Codex Review

Here are some automated review suggestions for this pull request.

Reviewed commit: 0ee2aa0a79

ℹ️ About Codex in GitHub

Your team has set up Codex to review pull requests in this repo. Reviews are triggered when you

• Open a pull request for review
• Mark a draft as ready
• Comment "@codex review".

If Codex has suggestions, it will comment; otherwise it will react with 👍.

Codex can also answer questions or update the PR. Try commenting "@codex address that feedback".

[chatgpt-codex-connector]

Guard the health view migration when the view is absent

On a fresh supabase db reset/rebuild this migration will stop here if public.v_system_health_dashboard has not already been created; I checked the repo with rg "v_system_health_dashboard" . and this new migration is the only definition/reference, so the view is not created by any earlier versioned migration. Since this PR is meant to make orphaned migrations replayable, this needs to either add the missing view-creation migration or make the ALTER VIEW/REVOKE block conditional on the view existing.

Useful? React with 👍 / 👎.

[Copilot]

Pull request overview

Esta PR busca reduzir o desync entre o schema real do Supabase (aplicado via MCP apply_migration) e o repositório, versionando migrations “órfãs” do redeploy Fase 1 e adicionando documentação operacional relacionada.

Changes:

• Adiciona 8 arquivos de migrations em supabase/migrations/ (painel de cotações, onda3, e correções T15/T16/T17).
• Documenta o status da sincronização e gaps no redeploy (docs/redeploy/...).
• Adiciona um stub de incidente sobre exposição de .env (docs/INCIDENTS/...).

Reviewed changes

Copilot reviewed 10 out of 10 changed files in this pull request and generated 8 comments.

Show a summary per file

File	Description
supabase/migrations/20260511200038_create_painel_cotacoes_schema.sql	Cria schema/tabela/policies iniciais para painel de cotações
supabase/migrations/20260511200056_create_painel_users.sql	Cria usuários do painel diretamente em auth.*
supabase/migrations/20260512163615_onda3_tracking_e_nf.sql	Adiciona tracking/NF em cotacoes + tabela/policies de eventos
supabase/migrations/20260512163629_onda3_storage_recibos.sql	Cria bucket recibos-entrega e policies de Storage
supabase/migrations/20260512164738_onda3_simplifica_nf_e_retry.sql	Ajusta check de NF e adiciona colunas/índice de retry/observabilidade
supabase/migrations/20260512201500_t15_fix_system_health_dashboard_exposure.sql	Endurece permissões/execução da view v_system_health_dashboard
supabase/migrations/20260512201600_t16_move_backup_tables_to_schema_backup.sql	Move _backup_* para schema backup e restringe acesso ao schema
supabase/migrations/20260512210000_t17_fix_function_search_path.sql	Guardrail idempotente para fixar search_path em rotinas postgres-owned
docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md	Documento de status/DoD e gaps do sync repo↔DB
docs/INCIDENTS/2026-04-env-exposure.md	Stub de incidente P0 e checklist de rotação

Comments suppressed due to low confidence (4)

supabase/migrations/20260511200056_create_painel_users.sql:59

• Inserir diretamente em auth.users/auth.identities em migrations é frágil: o schema de Auth do Supabase muda ao longo do tempo e pode quebrar db reset (colunas/constraints/triggers). Melhor criar esses usuários via Supabase Admin API/CLI fora das migrations, ou via seed controlada em ambiente não-prod.

    -- 1) Cria entrada em auth.users com senha ALEATÓRIA (bcrypt de UUID).
    --    Senha não pode ser derivada nem por força bruta — reset obrigatório.
    INSERT INTO auth.users (
      instance_id, id, aud, role, email,
      encrypted_password, email_confirmed_at,
      raw_user_meta_data, raw_app_meta_data,
      created_at, updated_at,
      confirmation_token, recovery_token, email_change_token_new, email_change
    ) VALUES (
      '00000000-0000-0000-0000-000000000000'::uuid,
      v_user_id,
      'authenticated', 'authenticated',
      v_email,
      crypt(gen_random_uuid()::text, gen_salt('bf')),   -- senha aleatória — requer reset
      now(),

supabase/migrations/20260512163629_onda3_storage_recibos.sql:34

• A policy recibos_public_read é TO public (role PUBLIC), o que equivale a permitir SELECT para qualquer role e reintroduz “listagem ampla” via API. O repo já tem migration que remove policies públicas de SELECT em storage.objects (supabase/migrations/20260416180602_...). Recomendo trocar para leitura restrita (ex: TO authenticated com guarda de path) ou depender de signed URLs/CDN sem policy pública.

DROP POLICY IF EXISTS "recibos_public_read" ON storage.objects;
CREATE POLICY "recibos_public_read"
  ON storage.objects FOR SELECT
  TO public
  USING (bucket_id = 'recibos-entrega');

docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md:28

• A seção “Gap A” diz que 20260511200056_create_painel_users NÃO foi sincronizada, mas há um arquivo de migration com esse nome no PR. Se a intenção é manter o gap (por segurança), o arquivo deveria ser removido; se a intenção é sincronizar com mitigação (senha aleatória), então o doc precisa ser reescrito para não tratar como gap.

## NÃO sincronizadas nesta PR (2) — gaps abertos

### Gap A — `20260511200056_create_painel_users` (segurança)

A migration cria 4 usuários do painel de cotação com senha default `Promo@2026!` em plaintext. **O repo é público**; commitar verbatim expõe a senha publicamente (mesmo que os usuários já tenham trocado no 1º login).

**Decisão necessária do sponsor**: uma de três opções:

1. **Confirmar que todos os 4 usuários trocaram a senha em prod** + commitar a migration verbatim (passa a ser histórico, não credencial ativa).
2. **Rotacionar a senha em prod** via UI / SQL direto e DEPOIS commitar a migration com a senha rotacionada placeholder (`__SET_VIA_VAULT__`).
3. **Não commitar nunca** — a migration vira "snapshot operacional do dia X" e fica documentada apenas neste arquivo.

docs/redeploy/REDEPLOY-FASE1-MIGRATION-SYNC.md:46

• A seção “Gap B” referencia uma migration 20260512201700_t17_fix_function_search_path_mutable_22_funcs, mas o PR adiciona 20260512210000_t17_fix_function_search_path.sql. Isso deixa o doc inconsistente (qual é a T17 real no repo?). Ajustar nomes/versões e explicar se a abordagem idempotente por varredura substitui o SQL original de 22 ALTER FUNCTIONs.

### Gap B — `20260512201700_t17_fix_function_search_path_mutable_22_funcs` (reconstrução impossível com info disponível)

A entrada em `schema_migrations.statements` é apenas o summary `"ALTER FUNCTION ... SET search_path (22 funcoes)"` — não SQL válido. Para reconstruir precisaríamos do **resultado do advisor `function_search_path_mutable` no instante anterior à aplicação** (lista das 22 funções específicas que estavam mutáveis).

Estado atual: 731 funções em `public` têm `search_path` setado (a maioria via migration `20260423123503_fix_all_functions_search_path_safe`). Não é possível distinguir quais 22 foram tocadas pela T17 sem o histórico do advisor.

**Decisão necessária do sponsor**: uma de três opções:

1. **Aceitar o gap** — a função está corrigida em prod, o advisor está zerado, e o `db reset` continuaria zerando o mesmo advisor (porque migrations anteriores já cobriam quase tudo). Documentar e seguir.
2. **Reproduzir a partir de logs** — se houver `pg_stat_statements` ou audit log que contenha os ALTER FUNCTIONs executados em `2026-05-12 20:17 UTC`, extrair daí.
3. **Re-executar a auditoria manual** — listar todas as SECURITY DEFINER em `public` sem `search_path` no estado HISTÓRICO (pré-T17) via `pg_dump` antigo, se existir.

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.