security: hardening gate + incident response + calendar automation

.env.example

@@ -33,3 +33,13 @@ AWS_SECRET_ACCESS_KEY=""
 # --- SECURITY ---
 # Pausable Roles
 ADMIN_ADDRESS="0x..."
+
+# --- GOOGLE CALENDAR (CRONOGRAMA GEMLAB) ---
+# ID do calendario (Settings > Integrate calendar > Calendar ID)
+GOOGLE_CALENDAR_ID=""
+# Data de inicio do ciclo de 12 meses (YYYY-MM-DD), ex: 2026-06-01
+GEMLAB_PROJECT_START_DATE=""
+# Opcao 1: caminho local para o JSON da Service Account
+GOOGLE_SERVICE_ACCOUNT_FILE=""
+# Opcao 2: JSON da Service Account em base64 (recomendado para CI)
+GOOGLE_SERVICE_ACCOUNT_KEY_BASE64=""

.github/workflows/security-gate.yml

@@ -0,0 +1,34 @@
+name: Security Gate
+
+on:
+  push:
+    branches: [main, "release/**"]
+  pull_request:
+    branches: [main, "release/**"]
+
+jobs:
+  app-security-gate:
+    runs-on: ubuntu-latest
+    timeout-minutes: 20
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Setup Node
+        uses: actions/setup-node@v4
+        with:
+          node-version: 20
+          cache: npm
+
+      - name: Install deps
+        run: npm ci
+
+      - name: Build
+        run: npm run build
+
+      - name: Dependency security gate (prod high/critical)
+        run: npm audit --audit-level=high --omit=dev
+
+      - name: Preflight release checks
+        run: SKIP_BUILD=1 npm run preflight:release
+

.gitignore

@@ -14,5 +14,6 @@ vercel-debug.log
 *.key
 gcp-oauth.keys.json
 .gdrive-server-credentials.json
+google-service-account*.json
 .vercel
 security/reports/

README.md

@@ -35,5 +35,6 @@
 
 - Arquitetura EAS: [`docs/EAS_GEMLAB_ARQUITETURA.md`](./docs/EAS_GEMLAB_ARQUITETURA.md)
 - Hardening publico: [`docs/GITHUB_PUBLIC_HARDENING_CHECKLIST.md`](./docs/GITHUB_PUBLIC_HARDENING_CHECKLIST.md)
+- Baseline de seguranca: [`docs/SECURITY_BASELINE_2026-02-28.md`](./docs/SECURITY_BASELINE_2026-02-28.md)
 - Guia detalhado de projeto: [`src/README.md`](./src/README.md)
 - Licenciamento segmentado: [`LICENSING.md`](./LICENSING.md)

docs/GITHUB_PUBLIC_HARDENING_CHECKLIST.md

@@ -9,6 +9,7 @@ Run from repo root:
 ```bash
 SKIP_BUILD=1 bash scripts/preflight_release.sh
 bash scripts/security_audit_history.sh
+bash scripts/pii_audit_public.sh
 ```
 
 If either command fails, do not push.
@@ -37,6 +38,10 @@ If either command fails, do not push.
 
 Target response time: under 30 minutes from detection.
 
+Incident flow reference:
+
+- `security/INCIDENT_RESPONSE_PLAYBOOK.md`
+
 ## 5) PII hygiene before public release
 
 Run a quick scan and manually review hits:
@@ -62,3 +67,4 @@ GO only if all are true:
 - CI secret scan green
 - PII scan reviewed
 - Route allowlist aligned with evaluation scope
+- `npm audit --audit-level=high --omit=dev` passed

docs/GOOGLE_CALENDAR_CRONOGRAMA.md

@@ -0,0 +1,56 @@
+# Google Calendar - Cronograma GEMLAB (12 meses)
+
+Este fluxo cria os marcos M1-M12 do projeto no Google Calendar usando API.
+
+## 1) Preparar credenciais Google
+
+1. Crie um projeto no Google Cloud.
+2. Ative a API `Google Calendar API`.
+3. Crie uma **Service Account** e gere a chave JSON.
+4. Compartilhe o calendario com o e-mail da Service Account com permissao de edicao.
+
+## 2) Variaveis de ambiente
+
+Preencha no `.env`:
+
+```env
+GOOGLE_CALENDAR_ID="seu_calendar_id@group.calendar.google.com"
+GEMLAB_PROJECT_START_DATE="2026-06-01"
+GOOGLE_SERVICE_ACCOUNT_FILE="/caminho/seguro/google-service-account.json"
+```
+
+Alternativa para CI/CD:
+
+```env
+GOOGLE_SERVICE_ACCOUNT_KEY_BASE64="<json_base64>"
+```
+
+## 3) Testar sem gravar
+
+```bash
+npm run calendar:dry-run
+```
+
+## 4) Sincronizar de fato
+
+```bash
+npm run calendar:sync
+```
+
+O script usa `--replace`, removendo eventos antigos com prefixo `GEMLAB |` dentro da janela de 12 meses.
+
+## 5) Eventos criados
+
+- M1-M2 Estruturacao Tecnica e Governanca
+- M3-M4 Desenvolvimento MVP + Testnet
+- M5-M6 Validacao Tecnica e Piloto Operacional
+- M7 Marco Feira das Esmeraldas 2026
+- M8-M9 Expansao do Piloto
+- M10-M11 Preparacao Comercial GTM
+- M12 Lancamento GTM e Encerramento
+
+## Observacoes de seguranca
+
+- Nao commitar arquivo JSON da Service Account.
+- Use `.env` local ou segredo no pipeline.
+- Revogue e regenere chave se houver suspeita de exposicao.

docs/SECURITY_BASELINE_2026-02-28.md

@@ -0,0 +1,45 @@
+# GEMLAB Security Baseline (2026-02-28)
+
+Objetivo: registrar estado de seguranca antes da insercao de segredos de producao.
+
+## 1) Controles implementados
+
+- Secret scan no CI: `.github/workflows/secret-scan.yml`
+- Security gate no CI: `.github/workflows/security-gate.yml`
+- Preflight local com:
+  - varredura de segredos
+  - validacao de arquivos criticos
+  - gate de `npm audit --audit-level=high --omit=dev`
+- Playbook de incidente: `security/INCIDENT_RESPONSE_PLAYBOOK.md`
+
+## 2) Comando unico de validacao
+
+```bash
+npm run security:check
+```
+
+Este comando executa:
+
+1. `SKIP_BUILD=1 bash scripts/preflight_release.sh`
+2. `bash scripts/security_audit_history.sh`
+3. `bash scripts/pii_audit_public.sh`
+
+## 3) Politica de segredos
+
+- Nunca commitar `.env` ou JSON de service account.
+- Segredos apenas em secret manager (Vercel/AWS/GitHub Secrets).
+- Rotacao obrigatoria em suspeita de exposicao.
+
+## 4) Risco residual atual
+
+- Sem vulnerabilidades `critical/high` bloqueantes em runtime de producao no gate configurado.
+- Dependencias de tooling Web3 (Hardhat/ecossistema legacy) ainda trazem advisories `low/moderate`.
+- Correcao total dessas dependencias exige migrao major de stack e sera executada em branch dedicada de hardening.
+
+## 5) Condicao GO para adicionar chaves
+
+- [ ] `npm run security:check` passou.
+- [ ] Workflows de CI verdes em `main`.
+- [ ] Nenhum segredo detectado em historico/working tree.
+- [ ] Escopo minimo de credenciais definido.
+