Tibia Toolkit
← Voltar ao site

Tibia Toolkit · Confiança

Code signing policy

Como as versões oficiais para Windows são construídas, aprovadas, assinadas e verificadas.

Última revisão: 14 de julho de 2026

Free code signing provided by SignPath.io, certificate by SignPath Foundation. Esta política passa a reger as versões assinadas depois da aceitação do projeto e da conclusão da configuração do serviço.

1. Escopo da assinatura

Arquivos de terceiros fornecidos pela cadeia de empacotamento, como elevate.exe, não são alvos de assinatura pertencentes ao projeto e têm sua origem revisada quando a cadeia é atualizada.

  • Tibia Toolkit Setup <versão>.exe: instalador NSIS oficial.
  • Tibia Toolkit.exe: aplicativo Electron principal.
  • ScreenVision.NativeHost.exe: componente nativo mantido pelo projeto.

2. Build e controles de release

  • GitHub Actions hospedado gera o artefato de release não assinado a partir do código-fonte público.
  • A assinatura só é habilitada depois da aprovação da SignPath Foundation e da configuração segura do projeto.
  • Tokens, identificadores privados e demais segredos de assinatura permanecem fora do repositório e dos artefatos publicados.
  • Cada solicitação de assinatura exige aprovação manual do responsável pela release.
  • O fluxo verifica as assinaturas Authenticode, gera checksums SHA-256 e registra a procedência do build antes da publicação.

3. Papéis e acesso

As contas do GitHub e da SignPath usadas pelo projeto devem manter autenticação multifator. Certificados, chaves privadas, PINs e tokens nunca são armazenados em Git, releases, issues ou pull requests.

  • Administrador do repositório e committer: @poioso.
  • Revisor: @poioso.
  • Aprovador de releases e solicitações de assinatura: @poioso.
  • Contato de segurança: [email protected].

4. Privacidade e segurança

O tratamento de dados do site e do aplicativo está descrito na Política de Privacidade. Vulnerabilidades devem ser relatadas de forma privada conforme a página de Segurança.

A assinatura confirma a procedência do artefato; ela não substitui a verificação do canal oficial de download, do publicador e do checksum divulgado.

5. Verificação pelo usuário

  • https://tibiatoolkit.com/
  • Confira a assinatura Authenticode do instalador antes de executá-lo.
  • Compare o SHA-256 do arquivo com o checksum publicado para a mesma versão.
  • Artefatos locais ou comuns de CI permanecem não assinados até que o programa da SignPath Foundation esteja ativo para o projeto.
[email protected]Documento relacionado: Termos de UsoDocumento relacionado: Política de PrivacidadeDocumento relacionado: Segurançatibiatoolkit.comSignPath.ioSignPath FoundationDiscord

Tibia and all Tibia content are © CipSoft GmbH. Tibia Toolkit is an independent project.