Security audit: Apply safe fixes and document remaining vulnerabilities

[Copilot]

Overview

Project has 65 security vulnerabilities from npm audit. Applied safe fixes (3 resolved), documented remaining 62 that require breaking changes. All vulnerabilities are in dev/test dependencies, not production code.

Changes

Dependencies Updated

• Applied npm audit fix (non-breaking only)
• Fixed @isaacs/brace-expansion 5.0.0 → 5.0.1 (high severity)
• Cleaned up peer dependency flags in lock file
• Result: 65 → 62 vulnerabilities

Documentation Added

SECURITY_AUDIT_REPORT.md

• Analysis of all 62 remaining vulnerabilities by category
• Risk matrix (severity × exploitability × environment)
• Recommended upgrade paths with trade-offs
• Root cause: Stencil 2.x requires Puppeteer ≤20, both EOL

docs/DEPENDENCY_UPDATE_TESTING_GUIDE.md

• 3-level testing strategy (quick/component/full integration)
• Rollback procedures and common issues
• Validation checklist template

Remaining Vulnerabilities

All in development/testing environment only:

Category	Severity	Fix	Blocker
Puppeteer (ws, tar-fs)	High	Update to v24	Stencil 2.x compatibility
Storybook (esbuild)	Moderate	Update to v8.6+	Breaking API changes
semantic-release (npm bundled)	High	Downgrade to v21	Major version change
webpack-dev-server	Moderate	Update react-scripts	Breaking changes

Next Steps

1. Immediate: Upgrade Storybook 7.0.22 → 8.6.14 (dev env only, manageable risk)
2. Medium-term: Plan Stencil 2 → 4 upgrade to unblock Puppeteer update
3. Long-term: Automate dependency updates (Dependabot/Renovate)

Validation

✅ Unit tests: 102 suites, 2518 tests passing
✅ E2E tests: All components passing
✅ Build: No regressions

Original prompt

---

This section details on the original issue you should resolve

<issue_title>Refatoração e atualização de dependências para correção de vulnerabilidades</issue_title>
<issue_description>Essa funcionalidade está relacionada a algum problema? Descreva.
Após rodar o npm install, o terminal reporta diversas vulnerabilidades de segurança (65 no total, sendo 4 críticas) nas dependências do projeto. Além disso, há um aviso de puppeteer depreciado.

---

Descreva a solução que você gostaria
É necessário analisar a árvore de dependências, atualizar os pacotes necessários para corrigir as vulnerabilidades e substituir pacotes depreciados (especialmente o puppeteer) para garantir que o build npm run dev seja seguro e estável.

---

Descreva alternativas que você considerou
Rodar npm audit fix --force, mas isso pode causar breaking changes indesejadas no projeto Stencil, dado o alto número de vulnerabilidades críticas.

---

Componente do Design System
Infraestrutura/Configuração do Projeto (ferramentas de build e testes).

---

Link(s) do Figma
Não aplicável (problema de infraestrutura).

---

Isso é uma alteração em um componente existente ou criação de um novo?

• Atualização de componente existente
• Criação de novo componente

---

Contexto adicional
Resumo: 65 vulnerabilities (6 low, 29 moderate, 26 high, 4 critical). É necessário focar primeiro nas críticas e altas.

---

🛠️ Notas de implementação (para desenvolvedores e agentes de IA) - NÃO REMOVER

• Utilize os links do Figma com as ferramentas Figma MCP para inspecionar e extrair os detalhes do componente antes de iniciar o desenvolvimento.
• Todo componente implementado ou atualizado deve conter histórias no Storybook demonstrando todos os estados possíveis do componente.
• Sempre que possível, consolide as variações em uma única página de story, utilizando controles ou variantes para representar diferentes estados.
  </issue_description>

Comments on the Issue (you are @copilot in this section)

Custom agent used: test-specialist
Focuses on test coverage, quality, and testing best practices without modifying production code

• Fixes Refatoração e atualização de dependências para correção de vulnerabilidades #1130

---

✨ Let Copilot coding agent set things up for you — coding agent works faster and does higher quality work when set up for your repo.