Tibia Toolkit · Confiança
Code signing policy
Como as versões oficiais para Windows são construídas, aprovadas, assinadas e verificadas.
Última revisão: 14 de julho de 2026
Free code signing provided by SignPath.io, certificate by SignPath Foundation. Esta política passa a reger as versões assinadas depois da aceitação do projeto e da conclusão da configuração do serviço.
1. Escopo da assinatura
Arquivos de terceiros fornecidos pela cadeia de empacotamento, como elevate.exe, não são alvos de assinatura pertencentes ao projeto e têm sua origem revisada quando a cadeia é atualizada.
- Tibia Toolkit Setup <versão>.exe: instalador NSIS oficial.
- Tibia Toolkit.exe: aplicativo Electron principal.
- ScreenVision.NativeHost.exe: componente nativo mantido pelo projeto.
2. Build e controles de release
- GitHub Actions hospedado gera o artefato de release não assinado a partir do código-fonte público.
- A assinatura só é habilitada depois da aprovação da SignPath Foundation e da configuração segura do projeto.
- Tokens, identificadores privados e demais segredos de assinatura permanecem fora do repositório e dos artefatos publicados.
- Cada solicitação de assinatura exige aprovação manual do responsável pela release.
- O fluxo verifica as assinaturas Authenticode, gera checksums SHA-256 e registra a procedência do build antes da publicação.
3. Papéis e acesso
As contas do GitHub e da SignPath usadas pelo projeto devem manter autenticação multifator. Certificados, chaves privadas, PINs e tokens nunca são armazenados em Git, releases, issues ou pull requests.
- Administrador do repositório e committer: @poioso.
- Revisor: @poioso.
- Aprovador de releases e solicitações de assinatura: @poioso.
- Contato de segurança: [email protected].
4. Privacidade e segurança
O tratamento de dados do site e do aplicativo está descrito na Política de Privacidade. Vulnerabilidades devem ser relatadas de forma privada conforme a página de Segurança.
A assinatura confirma a procedência do artefato; ela não substitui a verificação do canal oficial de download, do publicador e do checksum divulgado.
5. Verificação pelo usuário
- https://tibiatoolkit.com/
- Confira a assinatura Authenticode do instalador antes de executá-lo.
- Compare o SHA-256 do arquivo com o checksum publicado para a mesma versão.
- Artefatos locais ou comuns de CI permanecem não assinados até que o programa da SignPath Foundation esteja ativo para o projeto.
