cli & mcp

No terminal, no CI e dentro do seu editor.

O mesmo motor de scan roda onde você já trabalha. Sem sair do fluxo, sem dashboard obrigatório.

Rode agora, sem instalar:

❯ npx phosphor scan .

Ou instale global:

❯ npm i -g @phosphor/cli

phosphor scan

❯ npx phosphor scan .

phosphor v1.0 motor determinístico + IA

stack: Next.js 16 · Supabase · TypeScript

✗ SEC-001 crítico chave da OpenAI no bundle (src/app/api/chat/route.ts:7)

✗ PRIV-001 crítico tabela `profiles` sem RLS

✗ PRIV-LGPD-003 alto CPF sem base legal (Art. 7º)

✓ 41 checagens passaram

postura 71/100 · limiar=high → exit code 1

No CI / PR check

Saída legível e exit code ≠ 0 acima do limiar bloqueia o merge com qualquer crítico.

# .github/workflows/ci.yml
- run: npx phosphor scan . --fail-on=high

No Cursor / Claude Code (MCP)

Exponha o scanner como ferramenta MCP. Peça “rode o phosphor neste arquivo” e receba findings + fix inline.

{
  "mcpServers": {
    "phosphor": {
      "command": "npx",
      "args": ["-y", "@phosphor/mcp"],
      "env": { "PHOSPHOR_TOKEN": "ph_xxx" }
    }
  }
}

phosphor · security94

Mostre sua postura no README. Cada repo público vira um outdoor e um convite para o próximo builder.