Pensado pra times com cabeça de segurança
Projetado pra merecer a confiança que você dá pro seu clipboard.
Segredo colado é confiança íntima. A gente documenta arquitetura, limites e roadmap publicamente — pra que seu time de segurança responda perguntas sem precisar abrir ticket de vendor.
Threat model
safe-paste é desenhado pra defender contra uma classe específica de risco: vazamento acidental de credenciais via clipboard quando você compartilha snippets com pessoas ou assistentes de IA. Aqui o que defende, e onde fica o limite.
O que defende
- · Paste acidental de credenciais em chat (Slack, Discord, ChatGPT, Claude, etc.)
- · Paste acidental em tickets, docs, screenshots compartilhados externamente
- · Cópia acidental de comando de install de pacote malicioso de fonte comprometida
- · Senhas vazadas inseridas em URLs, headers ou connection strings
- · Vazamento de metadata EXIF / GPS em screenshots
O que não defende
- · Atacante determinado com execução de código no seu Mac — não somos substituto pra endpoint security
- · Paste intencional e deliberado de segredo com Vibe Mode desligado
- · Keyloggers — qualquer coisa que intercepta no nível do OS acontece antes do nosso alcance
- · Exfiltração por side-channel fora do clipboard (network monitoring, upload de arquivo, etc.)
- · Padrões que ainda não curamos — veja /coverage pro catálogo atual
Fluxo de dados
Cada byte que o seu clipboard toca fica no seu Mac. Updates e o catálogo de pacotes maliciosos são os únicos pontos de rede — ambos assinados e verificáveis.
┌────────────────────────┐ ┌─────────────────────┐
│ Your Mac (everything) │ │ Network (boundary) │
├────────────────────────┤ ├─────────────────────┤
│ │ │ │
│ ┌───────────┐ │ │ │
│ │ Clipboard │────────┼─── never leaves ────→ │ ✗ blocked │
│ └───────────┘ │ │ │
│ │ │ │ │
│ ▼ │ │ │
│ ┌───────────┐ │ │ │
│ │ Scanner │ <──────┼─── pattern set (local) │ │
│ └───────────┘ │ │ │
│ │ │ │ │
│ ▼ │ │ │
│ ┌───────────┐ │ │ │
│ │ Redactor │────────┼─→ paste target (local) │ │
│ └───────────┘ │ │ │
│ │ │ │
│ ┌───────────────┐ │ │ │
│ │ Sparkle 2 │ <──┼─── EdDSA-signed only ──→ updates.manolus.com │
│ └───────────────┘ │ │ │
│ │ │ │
│ ┌───────────────┐ │ │ │
│ │ OSV catalog │ <──┼─── advisory by ID only ─→ osv.dev (public) │
│ └───────────────┘ │ │ │
│ │ │ │
└────────────────────────┘ └─────────────────────┘
Integridade & assinatura
Auto-updates vêm via Sparkle 2 com verificação de assinatura EdDSA. Mesmo se o servidor de updates fosse comprometido, binários modificados falhariam a verificação e nunca rodariam. A chave de verificação tá publicada abaixo — pin no seu MDM ou tooling de compliance se quiser um terceiro trust anchor.
Chave EdDSA de assinatura de update
Essa chave pública Ed25519 assina cada update servido pelo canal de auto-update. Se o binário que você recebe não verifica contra essa chave, o Sparkle se recusa a instalar.
MXdk/riKQvOQx6AB3tmd2+2mjvMH/sdHxH1Z1sUB6YA= Posição de compliance
GDPR
Disponível agoraAnalytics sem cookies, opção de residência de dados na UE, DSR via email
SOC 2
No roadmapType I planejado pra ciclo v2, seleção de firma de auditoria em curso
Compatível com workflow HIPAA
Disponível agoraSem cloud storage de PHI; BAA disponível sob demanda
Auditoria de código independente
No roadmapAgendada pra janela de estabilidade pós-1.0
Builds verificáveis
Disponível agoraSHA-256 de cada release publicado em /changelog
Opções de deploy
Download direto cobre instalação individual. Pra deploy em time ou frota, fale com a gente — ajudamos com packaging MDM/Jamf, bundles de pattern customizados pra credenciais internas, e defaults de Vibe Mode gerenciados por policy.