From 3aa6a444dc701c6817aa70bd61353e43f81de218 Mon Sep 17 00:00:00 2001 From: VPS 4 Builder Date: Fri, 19 Jun 2026 14:36:38 +0200 Subject: [PATCH] security(infra): remove senhas hardcoded do docker-compose MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - Senha do banco deixa de ter default no compose: vem de SCOREO_DB_PASS (.env raiz em DEV; provisionar fora do git em PROD). `:?` faz o up falhar se faltar (fail-fast). - DRAGONFLY_URL (com senha) sai do compose e passa a vir do env_file backend/.env. - Host/usuário/banco mantêm default (não são segredo). - Validado em DEV: db (pgdev) ok, cache ok, login ok. Co-Authored-By: Claude Opus 4.8 --- docker-compose.yml | 7 +++++-- 1 file changed, 5 insertions(+), 2 deletions(-) diff --git a/docker-compose.yml b/docker-compose.yml index 742ae40..ed83493 100644 --- a/docker-compose.yml +++ b/docker-compose.yml @@ -37,8 +37,11 @@ services: - BAILEYS_ENGINE=infinite - PORT=8018 - NODE_ENV=production - - DATABASE_URL=postgresql://${SCOREO_DB_USER:-scoreodonto_user}:${SCOREO_DB_PASS:-clube67_scoreodonto_pass_9903}@${SCOREO_DB_HOST:-10.99.0.3}:5432/${SCOREO_DB_NAME:-scoreodonto}?schema=public - - DRAGONFLY_URL=redis://:clube67_dragonfly_pass_9903@10.99.0.3:6379/1 + # Senha do banco vem do ambiente (.env raiz em DEV; provisionado fora do git em PROD). + # `:?` falha o `up` se a senha não estiver definida — evita subir com senha vazia/errada. + # Host/usuário/banco mantêm default (não são segredo); só a senha é obrigatória via env. + - DATABASE_URL=postgresql://${SCOREO_DB_USER:-scoreodonto_user}:${SCOREO_DB_PASS:?defina SCOREO_DB_PASS no .env}@${SCOREO_DB_HOST:-10.99.0.3}:5432/${SCOREO_DB_NAME:-scoreodonto}?schema=public + # DRAGONFLY_URL (com senha) vem do env_file backend/.env — não fica em texto no compose. - NATS_URL=nats://10.99.0.3:4222 - TEMPORAL_ADDRESS=10.99.0.3:7233 - BAILEYS_SESSIONS_PATH=/app/sessions