Documentação do Quorum¶
Bem-vindo à documentação enterprise do Quorum (quorum-sec-scan) — uma ferramenta de
consensus security scanning entregue como CLI + imagens Docker. Esta pasta descreve o produto
AS-IS na versão v0.2.3 (branch main como fonte de verdade), em português (pt-BR).
📖 O índice mestre completo é
00-index.md— lá estão as trilhas de leitura por papel, o Registro de Premissas (A-01…A-21), o Registro de Lacunas (G-01…G-19), as Perguntas em aberto para stakeholders e os metadados. EsteREADME.mdé apenas o atalho que o GitHub renderiza ao abrir a pastadocs/.
Escopo (importante)¶
O Quorum é CLI/Docker only. Os domínios abaixo são N/A por arquitetura e estão documentados como tal (com justificativa e, quando útil, "proposta futura" separada):
| Domínio | Status | Onde |
|---|---|---|
| Frontend web / UI | N/A (UX é terminal) | 08-frontend |
| Banco de dados relacional | N/A (só caches de arquivo reconstruíveis) | 07-persistencia-e-artefatos |
| API REST HTTP | N/A (interface é a CLI + imagem) | 06-interfaces-cli-e-formatos |
| Autenticação / contas | N/A | 12-seguranca |
| IA / LLM / ML | N/A (OSV.dev é lookup determinístico) | 13-ia |
Sumário¶
| # | Documento | Descrição |
|---|---|---|
| 00 | Índice mestre | Landing, trilhas, premissas, lacunas, perguntas, metadados. |
| 01 | Visão Geral | O que é o Quorum, escopo, princípios e fronteiras N/A. |
| 02 | Requisitos Funcionais | Comandos, flags, exit codes, scanners e matriz de targets. |
| 03 | Requisitos Não Funcionais | Performance, SLO/SLI, supply chain, conformidade. |
| 04 | Arquitetura | Pipeline, pacotes internal/*, fan-out e diagrama de sequência. |
| 05 | Modelagem de Dados | model.Finding, MergedFinding, fingerprints, JSON/XML. |
| 06 | Interfaces (CLI) e Formatos | Contrato da CLI, list-scanners, SARIF/JSON/XML. |
| 07 | Persistência e Artefatos | Cache de aliases, Grype DB, crosswalk, baseline, relatórios. |
| 08 | Frontend / Terminal | UX de terminal: stdout/stderr, summary, cor/TTY. |
| 09 | Backend | cmd/quorum + internal/* como backend CLI. |
| 10 | Infraestrutura | Build, distribuição GHCR (:full/:slim), cosign + SLSA. |
| 11 | DevOps | Workflows CI/e2e/release, fluxo de PR, tag móvel v0. |
| 12 | Segurança | Modelo de ameaças, riscos, supply chain, frameworks. |
| 13 | IA | Ausência de IA/LLM/ML (N/A + proposta futura). |
| 14 | Observabilidade | Logs [quorum], campos SARIF/JSON, telemetria proposta. |
| 15 | Testes | Estratégia, contract tests, e2e de consenso, cobertura. |
| 16 | Roadmap | Fases V1/V2/V3 e gates de release SemVer. |
| 17 | Backlog | Epics/Stories priorizados (MoSCoW, story points). |
| 18 | Matriz de Riscos | Riscos técnicos/supply-chain/operacionais. |
| 19 | Custos | Actions/GHCR/headcount, licenças, câmbio. |
| 20 | Melhorias | Oportunidades priorizadas (impacto × esforço). |
| 99 | Checklists | Adoção, QA, segurança, deploy e produção. |
Trilhas rápidas por papel¶
- Primeiro contato: 01 → 06 → 99
- Como funciona: 04 → 05 → 09
- Adotar em pipeline: 06 → 10 → 11 → 14
- Postura de segurança: 12 → 18 → 13
- Planejar evolução: 16 → 17 → 20
Convenção: arquivos seguem NN-arquivo.md (00 índice, 99 checklists); cross-links são relativos
dentro de docs/. Documentação descritiva do produto na v0.2.3 — para o produto em si, veja o
README principal.