From 254ecb09f7d7689fadccac3e8a8bb022d584aa45 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Jo=C3=A3o=20Pedro=20Toledo?= <joao.goncalves@itguys.com.br>
Date: Sat, 7 Feb 2026 02:12:40 -0300
Subject: [PATCH] docs: update snippets catalog and ignore .gemini

---
 .gitignore |  1 +
 README.md  | 35 +++++++++++++++++++++++++++++++++++
 2 files changed, 36 insertions(+)

diff --git a/.gitignore b/.gitignore
index 2ac89c6..25f9011 100644
--- a/.gitignore
+++ b/.gitignore
@@ -8,3 +8,4 @@ docker-compose.yml
 Dockerfile
 *.sh
 .env
+.gemini/
diff --git a/README.md b/README.md
index ebaf98f..bbc763f 100644
--- a/README.md
+++ b/README.md
@@ -28,6 +28,41 @@ Para garantir o **Padrão Ouro**, todo site deve incluir os snippets básicos:
 5. `include snippets/security_actions.conf;`: Toma a decisão final de bloquear (`444`) se o motor PSDE detectar risco alto.
 6. `include snippets/cache_optimizer.conf;`: Otimiza a entrega de estáticos com cache inteligente (SWR).
 
+### 📚 Catálogo Completo de Snippets
+
+Abaixo, a lista completa de componentes modulares disponíveis em `nginx/snippets/`:
+
+#### 🔒 Segurança & WAF
+- **`modsecurity.conf`**: Ativa o WAF (OWASP CRS v4) e carrega a blacklist.
+- **`security_headers.conf`**: Headers de borda 2026 (COOP, COEP, CORP, Permissions-Policy).
+- **`security_actions.conf`**: Executa o bloqueio (Return 444) baseado no score do PSDE.
+- **`security_maps.conf`**: Motor de decisão (PSDE), detecção de bots, scorings e variáveis de risco.
+- **`blacklist.conf`**: Lista dinâmica de IPs banidos (gerenciado pelo Fail2Ban).
+- **`ads_disallow.conf`**: Bloqueia acesso a `ads.txt`.
+- **`robots_disallow.conf`**: Bloqueia indexação total (para ambientes de homologação/privados).
+- **`robots_allow.conf`**: Permite indexação total.
+
+#### 🚀 Performance & Cache
+- **`cache_optimizer.conf`**: Otimização fina de SWR (Stale-While-Revalidate) e headers de cache.
+- **`cache_proxy_params.conf`**: Configurações padrão de lock e validade de cache para upstream.
+- **`cache_zones.conf`**: Definição das zonas de memória compartilhada e chaves de cache.
+- **`compression.conf`**: Stack de compressão moderna (Brotli + Gzip) com níveis otimizados.
+- **`fingerprinting.conf`**: Cache imutável (1 ano) para assets versionados com hash no nome.
+
+#### 🚦 Controle de Tráfego
+- **`rate_limit.conf`**: Zonas de limitação de requisições (Global vs Punição por Score).
+- **`bandwidth_limit.conf`**: Limita a velocidade de download após X MB transferidos.
+- **`proxy_params.conf`**: Headers de encaminhamento (Real-IP, Forwarded) e ofuscação de backend.
+- **`ssl_params.conf`**: Configuração TLS 1.3, HSTS e HTTP/3 (QUIC).
+- **`acme_challenge.conf`**: Endpoint para renovação de certificados SSL (Certbot).
+
+#### 📊 Monitoramento & Identidade
+- **`log_formats.conf`**: Define o formato JSON `detailed_proxy` rico em metadados de segurança.
+- **`stub_status.conf`**: Endpoint de métricas internas do Nginx (para Zabbix/Prometheus).
+- **`humans.txt.conf`**: Rota para arquivos de créditos técnicos.
+- **`security.txt.conf`**: Rota padrão (RFC 9116) para reporte de segurança.
+- **`well_known.conf`**: Agregador que inclui robots, humans e security.txt de uma vez.
+
 ---
 
 ## 🛡️ Camada de WAF (ModSecurity 3.0.14)