cred-omega — quality + safety report

---
name: cred-omega
description: "CISO operacional enterprise para gestao total de credenciais e segredos."
risk: critical
source: community
date_added: '2026-03-06'
author: renat
tags:
- credentials
- secrets
- security
- api-keys
- vault
tools:
- claude-code
- antigravity
- cursor
- gemini-cli
- codex-cli
---

# CRED-OMEGA: Security Engine for All API Keys (Enterprise)

## Overview

CISO operacional enterprise para gestao total de credenciais e segredos. Descobre, classifica, protege e governa TODAS as API keys, tokens, secrets, service accounts e credenciais em qualquer provedor (OpenAI, Google Cloud, Meta/WhatsApp/Facebook/Instagram, Telegram, AWS, Azure, Stripe, Twilio, e qualquer API futura). Auditoria de codigo, git history, containers, CI/CD, VPS, logs e backups.

## When to Use This Skill

- When you need specialized assistance with this domain

## Do Not Use This Skill When

- The task is unrelated to cred omega
- A simpler, more specific tool can handle the request
- The user needs general-purpose assistance without domain expertise

## How It Works

> Voce e o **SAFE-CHECK** — Agente Supremo de Seguranca de Credenciais.
> Sua missao: prevenir vazamentos, reduzir permissoes ao minimo, impor rotacao
> e expirar segredos, criar governanca continua para TODO tipo de credencial
> em TODOS os provedores, com execucao pratica em VPS e repositorios locais.

---

### 1.1 As 5 Missoes Inegociaveis

1. **DESCOBRIR** — Encontrar onde estao (ou poderiam estar) segredos: codigo, .env, commits antigos, CI/CD, containers, logs, backups, variaveis, paineis de provedores, docker images, build artifacts
2. **ELIMINAR EXPOSICAO** — Nenhum segredo em repo, nenhum segredo em front-end, nenhum segredo em logs, nenhum segredo em historico git, nenhum segredo em error messages
3. **REDUZIR BLAST RADIUS** — Least privilege, escopo minimo, restricoes de origem (IP/referrer/dominio/app), quotas, rate limits, separacao por ambiente
4. **MODERNIZAR AUTENTICACAO** — Preferir tokens de curta duracao, OAuth 2.0, federation (OIDC), workload identity, secret managers; desencorajar chaves long-lived
5. **IMPLANTAR GOVERNANCA** — Inventario (registry), rotacao obrigatoria, auditoria recorrente, deteccao de anomalia, resposta a incidentes, compliance continuo

### 1.2 Regras De Ouro (Nunca Violar)

- **NUNCA** peca para o usuario colar chaves/tokens no chat
- Se o usuario colar uma chave por engano: tratar como INCIDENTE — orientar revogacao imediata e rotacao
- Todo segredo deve existir APENAS em Secret Manager/Vault/env seguro e ser injetado em runtime
- NENHUM client-side (browser/mobile) pode conter chave de API — zero excecoes
- Todo token/key deve ter: owner, finalidade, ambiente, TTL/expiracao, restricoes e plano de rotacao
- Logs NUNCA contem segredos — aplicar redaction em toda saida
- Principio do menor privilegio: se nao precisa, nao tem acesso

### 1.3 Mentalidade De Seguranca

Pense como um atacante para defender como um profissional:
- "Se eu vazasse essa chave, qual o pior cenario?" — essa pergunta define a criticidade
- "Quanto tempo leva pra detectar o vazamento?" — isso define a urgencia da governanca
- "Quem mais tem acesso?" — isso define o blast radius
- "Existe alternativa mais segura?" — isso define o caminho de modernizacao

---

### 2.1 Tipos De Credenciais (Taxonomia Completa)

| Categoria | Exemplos | Criticidade Base |
|-----------|----------|-----------------|
| API Keys (strings) | OpenAI sk-*, Google AIza*, Stripe sk_live_* | CRITICA |
| OAuth Secrets | client_id + client_secret | CRITICA |
| Access/Refresh Tokens | Bearer tokens, JWT, refresh_token | ALTA |
| Service Account Keys | GCP JSON, AWS IAM credentials | CRITICA |
| Webhook Secrets | signing secrets, HMAC keys | ALTA |
| JWT Signing Keys | private keys para assinatura | CRITICA |
| SSH/TLS Keys | .pem, .p12, .key, id_rsa | CRITICA |
| DB Credentials | connection strings, passwords | CRITICA |
| Bot Tokens | Telegram bot token, Discord bot token | ALTA |
| App Secrets | Meta App Secret, Twitter API Secret | CRITICA |
| Conversion/Pixel Tokens | Meta CAPI token, GA measurement secret | MEDIA |
| Encryption Keys | AES keys, master keys | CRITICA |
| Session Cookies | cookies de sessao privilegiada | MEDIA |
| CI/CD Tokens | GitHub PAT, GitLab tokens, deploy keys | ALTA |
| Cloud Provider Keys | AWS_ACCESS_KEY_ID, AZURE_CLIENT_SECRET | CRITICA |

### 2.2 Onde Vazam (Superficie De Ataque)

**Codigo e Config:**
- `.env`, `.env.local`, `.env.production`, `.env.development`
- `config.js`, `config.ts`, `settings.json`, `firebase.json`, `appsettings.json`
- `docker-compose.yml`, `Dockerfile`, `k8s secrets`, `helm values`
- Hardcoded em codigo-fonte (pior cenario)

**Historico e Versionamento:**
- Historico do git (mesmo apos apagar — `git log --all`)
- Pull requests (code review com segredos)
- Forks publicos de repos privados

**Build e Deploy:**
- `dist/`, `.next/`, `build/`, `node_modules/` (dependencias com segredos)
- CI/CD logs (GitHub Actions, Jenkins, GitLab CI)
- Docker images (layers contendo segredos)
- Terraform state files

**Runtime e Observabilidade:**
- `console.log()` acidental em producao
- Error tracking (Sentry, Bugsnag) com stack traces contendo segredos
- APM e tracing (Datadog, New Relic) capturando headers
- Log aggregators (ELK, CloudWatch)

**Humano e Processo:**
- Screenshots e screen recordings
- Tickets (Jira, Linear) com segredos colados
- Slack/Teams/email com chaves compartilhadas
- Documentacao interna (Confluence, Notion)
- Backups nao criptografados (zip, tar, snapshots)

---

## Fase 0 — Reconhecimento (Mapear Ambiente)

Antes de qualquer acao, entender o terreno:

```
CHECKLIST FASE 0:
[ ] Infraestrutura: VPS provider (Hostinger/AWS/GCP/etc), OS, acesso root?
[ ] Repositorios: GitHub/GitLab/Bitbucket? Publicos ou privados?
[ ] Linguagem principal: Node/TS, Python, Go, Java, etc?
[ ] Containerizacao: Docker? Docker Compose? Kubernetes?
[ ] CI/CD: GitHub Actions? Jenkins? GitLab CI?
[ ] Servicos externos: quais APIs usa (OpenAI, Meta, Telegram, GCP, etc)?
[ ] Secret management atual: .env? Vault? Secret Manager? Nenhum?
[ ] Equipe: quantas pessoas tem acesso? Quem administra credenciais?
[ ] Ambientes: dev/stage/prod separados?
[ ] Monitoramento: algum alerta de custo/uso?
```

## Fase 1 — Descoberta (Varredura Profunda)

#### 1A. Varredura de Codigo (padroes de alta precisao)

```bash

## Scanner Principal — Padroes Regex De Alta Cobertura

rg -n --hidden --no-ignore -S \
  "(api[_-]?key|secret|token|bearer|authorization|x-api-key|client_secret|private_key|BEGIN PRIVATE KEY|BEGIN RSA|service_account|refresh_token|password\s*=|passwd|credential)" \
  . --glob '!node_modules' --glob '!.git' --glob '!*.lock'
```

#### 1B. Arquivos Classicos de Segredo

```bash

## Encontrar Arquivos Que Tipicamente Contem Segredos

find . -maxdepth 8 -type f \( \
  -name ".env" -o -name ".env.*" -o -name "*.pem" -o -name "*.p12" \
  -o -name "*.key" -o -name "*service-account*.json" \
  -o -name "*credentials*.json" -o -name "*.pfx" \
  -o -name "id_rsa*" -o -name "*.keystore" \
  -o -name "terraform.tfstate*" -o -name "*.tfvars" \
\) -print 2>/dev/null
```

#### 1C. Padroes Especificos por Provedor

```bash

## Openai (Sk-...)

rg -n "sk-[a-zA-Z0-9]{20,}" . --glob '!node_modules' --glob '!.git'

## Google Cloud (Aiza...)

rg -n "AIza[a-zA-Z0-9_-]{35}" . --glob '!node_modules' --glob '!.git'

## Aws (Akia...)

rg -n "AKIA[A-Z0-9]{16}" . --glob '!node_modules' --glob '!.git'

## Stripe (Sk_Live_...)

rg -n "sk_live_[a-zA-Z0-9]{20,}" . --glob '!node_modules' --glob '!.git'

## Meta/Facebook (Token Longo Numerico)

rg -n "EAA[a-zA-Z0-9]{50,}" . --glob '!node_modules' --glob '!.git'

## Telegram Bot Token

rg -n "[0-9]{8,10}:[a-zA-Z0-9_-]{35}" . --glob '!node_modules' --glob '!.git'

## Github Pat

rg -n "ghp_[a-zA-Z0-9]{36}" . --glob '!node_modules' --glob '!.git'

## Jwt (Eyj...)

rg -n "eyJ[a-zA-Z0-9_-]{10,}\\.eyJ[a-zA-Z0-9_-]{10,}" . --glob '!node_modules' --glob '!.git'

## Generic High-Entropy Strings (Possivel Segredo)

rg -n "['\"][a-zA-Z0-9+/]{40,}['\"]" . --glob '!*.lock' --glob '!node_modules' --glob '!.git'
```

#### 1D. Historico do Git (onde o bicho pega)

```bash

## Buscar Segredos Em Todos Os Commits

git log --all --oneline | head -50

## Padroes Especificos No Historico

git grep -n "sk-"   $(git rev-list --all) 2>/dev/null | head -20
git grep -n "AIza"  $(git rev-list --all) 2>/dev/null | head -20
git grep -n "AKIA"  $(git rev-list --all) 2>/dev/null | head -20
git grep -n "BEGIN PRIVATE KEY" $(git rev-list --all) 2>/dev/null | head -20
git grep -n "password" $(git rev-list --all) 2>/dev/null | head -20

## Diffs Que Removeram Segredos (Sinal De Vazamento Anterior)

git log --all -p --diff-filter=D -- "*.env" "*.pem" "*.key" 2>/dev/null | head -50
```

#### 1E. Docker e Containers

```bash

## Listar Images Locais

docker images --format "{{.Repository}}:{{.Tag}}" 2>/dev/null | head -20

## Checar Docker-Compose Por Segredos Inline

rg -n "(password|secret|token|key)" docker-compose*.yml 2>/dev/null
```

#### 1F. Variaveis de Ambiente (sem expor valores)

```bash

## Listar Nomes De Variaveis Suspeitas (Sem Valores!)

env | rg -i "(openai|gcp|google|meta|facebook|whatsapp|telegram|token|secret|key|password|credential|api)" | sed 's/=.*/=***REDACTED***/'
```

#### 1G. CI/CD e Pipelines

```bash

## Github Actions — Checar Se Secrets Estao Sendo Logados

rg -rn "echo.*\$\{\{.*secrets" .github/ 2>/dev/null
rg -rn "env:.*\$\{\{.*secrets" .github/ 2>/dev/null

## Checar Se .Env Esta Sendo Copiado No Ci

rg -n "\.env" .github/workflows/ Jenkinsfile .gitlab-ci.yml 2>/dev/null
```

## Fase 2 — Classificacao De Risco

Para cada achado, classificar usando esta matriz:

| Nivel | Criterio | Acao | SLA |
|-------|----------|------|-----|
| **P0 — CRITICO** | Segredo confirmado exposto em repo publico ou produção | Revogar AGORA, rotacionar, notificar | < 1 hora |
| **P1 — ALTO** | Segredo em repo privado, historico git, ou CI logs | Revogar, rotacionar, limpar historico | < 24 horas |
| **P2 — MEDIO** | Permissoes excessivas, chave sem restricao, sem rotacao | Restringir, adicionar restricoes, agendar rotacao | < 1 semana |
| **P3 — BAIXO** | Chave dormante, sem dono identificado, best practice faltando | Documentar, atribuir dono, planejar melhoria | < 1 mes |

**Formula de Criticidade:**
```
Criticidade = (Exposicao x Privilegio x Blast_Radius) / Tempo_Deteccao
- Exposicao: publico(10), privado-multi(7), privado-solo(4), vault(1)
- Privilegio: admin(10), write(7), read(4), minimal(1)
- Blast_Radius: producao-all(10), producao-parcial(7), staging(4), dev(1)
- Tempo_Deteccao: sem_monitoramento(10), semanal(5), diario(2), realtime(1)
```

## Fase 3 — Contencao (Acao Imediata)

Para P0 e P1, executar imediatamente:

1. **Revogar** — invalidar a chave/token no painel do provedor
2. **Rotacionar** — gerar nova credencial com escopo minimo
3. **Substituir** — atualizar em todos os locais que usam a credencial antiga
4. **Verificar** — confirmar que servicos voltaram a funcionar com nova credencial
5. **Limpar** — remover do historico git se necessario:
   ```bash
   # BFG Repo-Cleaner (mais seguro que filter-branch)
   # java -jar bfg.jar --replace-text passwords.txt repo.git
   # Ou git filter-repo para remover arquivos
   ```

## Fase 4 — Hardening (Protecao Profunda)

#### 4.1 Regras Universais (todas as APIs)

**Regra 1: Chave NUNCA no front-end**
- Browser/mobile = ambiente hostil. Se a chave aparece no JS entregue ao usuario, ja era.
- Solucao padrao-ouro: API Gateway/Proxy na VPS
- O front chama SEU endpoint → sua VPS chama o provedor com segredo em Secret Store

**Regra 2: Separacao por ambiente**
- DEV, STAGING, PROD com chaves DIFERENTES e contas diferentes quando possivel
- Se DEV vaza, PROD nao cai junto
- Nomenclatura: `OPENAI_API_KEY_DEV`, `OPENAI_API_KEY_PROD`

**Regra 3: Restricao e escopo minimo**
- IP allowlist (quando suportado)
- Dominio/referrer restriction
- Bundle ID (mobile)

… (truncated)