Nomics Tecnologia
Workspace de desenvolvimento fullstack — React, Next.js, APIs, segurança e automações complexas
A Nomics tem dois workspaces. O Hub cuida de copy, marketing, lançamentos e design. O Tech cuida de código, apps, segurança e infraestrutura.
Path
nomics-tech/
Dentro do workspace Nomics
Engine
AIOX v4.2
Evolução do AIOS para dev
Stack
Next.js 16, React 19, Supabase
Fullstack moderno + TypeScript
Squad
Claude Code Mastery
7 agentes especializados
Quando usar Hub vs Tech
Regra simples: HTML estático, copy ou marketing → Hub. React, backend, API custom ou segurança → Tech.
| Cenário | Onde | Squad | Por quê |
|---|---|---|---|
| LP HTML estático | Hub | nomics-webdesign | Single file, deploy direto na Vercel sem build |
| LP com slugs (/v1, /v2, /t1) | Hub | nomics-webdesign | vercel.json faz o roteamento — não precisa de React |
| LP React/Next.js com SSR | Tech | nomics-tech | Componentes dinâmicos, autenticação, API routes |
| Automação n8n | Hub | nomics-automacao | MCP n8n integrado, visual builder |
| API custom / backend | Tech | nomics-tech | Código server-side, endpoints, banco de dados |
| Design System CSS tokens | Hub | nomics-webdesign | Tokens CSS, variáveis, single file |
| Design System React components | Tech | nomics-tech | Component library reutilizável |
E os slugs (/v1, /v2, /t1)?
Comandos do dia a dia
Tudo que você pode pedir ao Prometheus quando está trabalhando no Tech. Clique para copiar.
Bugs
Features
Análise
Database
GitHub
Testes
Segurança
Cenários práticos
Exemplos reais do início ao fim mostrando o que você faz vs o que é automático.
Cenário
O nomicsbrain-app está quase pronto para deploy. Antes de subir para produção, precisamos de um review completo de segurança cobrindo OWASP Top 10, secrets, auth e inputs.
Abra o terminal no workspace Tech e inicie o Claude Code:
Navegue até o nomics-tech e inicie:
cd ~/Desktop/Nomics/nomics-tech && claudePeça a auditoria de segurança:
Quando o Prometheus iniciar, escreva:
Faz auditoria de segurança completa do nomicsbrain-app antes do deployAtiva a skill security-audit automaticamente
Identifica que é tarefa de segurança, carrega os padrões OWASP Top 10, e inicia a varredura do codebase. Você não precisa fazer nada.
Varre SQL Injection e NoSQL Injection
Analisa todas as queries ao Supabase, verifica se inputs são sanitizados, busca concatenação direta de strings em queries. Automático.
Varre XSS (Cross-Site Scripting)
Analisa todos os pontos onde dados do usuário são renderizados. Verifica se há dangerouslySetInnerHTML sem sanitização. Automático.
Varre Auth e Session Management
Verifica tokens JWT, expiração de sessão, proteção de rotas, middleware de autenticação Supabase. Automático.
Varre Secrets e Environment Variables
Busca API keys hardcoded, .env commitado no git, secrets expostos em logs ou client-side. Automático.
Varre CSRF, CORS e Headers de Segurança
Verifica configuração de CORS, headers (X-Frame-Options, CSP, HSTS), proteção contra CSRF. Automático.
Apresenta relatório com severidades
Relatório organizado: CRITICAL (bloqueia deploy), HIGH (deve corrigir), MEDIUM (recomendado), LOW (melhorias). Com localização exata no código e sugestão de fix.
Revise o relatório e decida
Leia cada issue. Para as CRITICAL e HIGH, peça: "Corrige a issue #1 de SQL Injection". O sistema corrige automaticamente no código.
Resultado final
Relatório de segurança completo: 0 CRITICAL, 2 HIGH (corrigidos), 4 MEDIUM (documentados). App pronto para deploy com segurança validada contra OWASP Top 10.
Cenário
Vamos verificar se tem alguma API key, senha ou dado sensível exposto no código, nos logs ou nos commits do Git. Isso deve ser feito antes de qualquer deploy e periodicamente.
No Claude Code do Tech, digite:
Com o Prometheus rodando no nomics-tech:
Verifica se tem dados sensíveis vazando no código ou no git historyAtiva varredura automática de secrets
Combina skill security-audit com grep patterns para API keys, tokens, senhas e dados pessoais. Você não precisa fazer nada.
Varre o codebase atual
Busca patterns: API_KEY=, SECRET=, password=, token=, Bearer, chaves com formato de AWS/GCP/Meta/Stripe. Em todos os arquivos .ts, .tsx, .js, .json, .env. Automático.
Varre o histórico do Git
Analisa commits anteriores buscando secrets que foram commitados e depois removidos — eles ainda existem no history. Automático.
Verifica client-side exposure
Checa se alguma variável de ambiente sem prefixo NEXT_PUBLIC_ está sendo usada no client-side (vazamento para o browser). Automático.
Apresenta o resultado para você
Lista: secrets encontrados, onde estão, severidade, e como remediar (rotacionar key, adicionar ao .gitignore, usar server-only).
Peça para corrigir o que encontrar
Para cada secret encontrado, peça: "Move essa key pro .env e rotaciona". O sistema corrige e você rotaciona a key no provedor.
Resultado final
Varredura completa: 1 token antigo encontrado no git history (rotacionado), 2 variáveis movidas para .env server-only. Codebase limpo.
Cenário
O nomicsbrain-app coleta dados de usuários (nome, email, dados de pagamento). Precisamos verificar se está em conformidade com a LGPD antes de escalar.
No Claude Code do Tech, digite:
Com o Prometheus rodando:
Review de compliance LGPD do nomicsbrain-app. Verifica coleta, armazenamento e tratamento de dados pessoais.Ativa review de compliance automaticamente
Combina security-audit com análise de fluxo de dados. Mapeia todos os pontos de coleta, armazenamento e compartilhamento. Você não precisa fazer nada.
Mapeia pontos de coleta de dados pessoais
Identifica todos os formulários, APIs e integrações que coletam: nome, email, CPF, dados de pagamento, cookies, IP. Automático.
Verifica consentimento e base legal
Checa se existe banner de cookies, checkbox de termos, política de privacidade linkada, e se o consentimento é registrado no banco. Automático.
Verifica armazenamento e retenção
Analisa: criptografia em repouso (Supabase RLS), período de retenção definido, possibilidade de exclusão de dados (direito ao esquecimento). Automático.
Verifica compartilhamento com terceiros
Mapeia integrações que recebem dados pessoais: Stripe, analytics, email marketing. Verifica se há DPA (Data Processing Agreement) necessário. Automático.
Apresenta checklist LGPD para você
Checklist com: conformidades ✅, pendências ⚠️, e violações ❌. Cada item com localização no código e sugestão de implementação.
Revise e priorize as correções
Leia o checklist. Para violações, peça: "Implementa o banner de cookies" ou "Cria endpoint de exclusão de dados". O sistema implementa.
Resultado final
Checklist LGPD completo: 8 conformidades, 3 pendências implementadas (banner cookies, endpoint exclusão, política de privacidade), 0 violações. App em conformidade.
Roteamento automático