Acompanhe as mudanças públicas do app, do painel, do laboratório e das integrações YouAutoCar.
Página 5 de 9
Scanner Android reforca identificacao OBD Mode 09
A reconciliacao da auditoria OBD completa o fluxo padrao de identificacao veicular no Android, com VIN, CALID, CVN e nome de ECU como leitura passiva/on-demand.
AndroidOperacao
Ver detalhes
O servico OBD padrao passa a consultar 0900 e respeitar o bitmap antes de ler VIN, CALID, CVN e nome da ECU.
O scanner padrao usa o novo contrato Mode 09 para VIN e mantem CVN como raw seguro, sem interpretar calibracao como diagnostico conclusivo.
A descoberta de PIDs foi alinhada ate 01C0 e o catalogo publico passa a ter fonte versionada dentro do repositorio.
O scanner mobile passa a carregar mais referencias OBD-II publicas para PIDs Mode 01 e identificacao Mode 09, mantendo leituras complexas como referencia segura.
AndroidOperacao
Ver detalhes
O catalogo OBD do app foi enriquecido com PIDs publicos adicionais do pacote de referencia, todos sem polling padrao automatico.
Mode 09 agora fica documentado no catalogo para discovery, VIN, CALID, CVN e nome de ECU em fluxos passivos/on-demand.
PIDs complexos de diesel, DPF, SCR, NOx e afins permanecem como referencia bruta ate existir decoder seguro e fonte confiavel.
Fonte: Solicitacao operacional - fortalecer o scanner OBD existente
1.2.36+132
Android exige descricao tecnica nas evidencias
A aba Evidencias da O.S. no Android passa a pedir contexto tecnico antes do upload e permite corrigir descricoes de evidencias canonicas.
AndroidSupabaseOperacao
Ver detalhes
Camera, galeria, arquivos e PDF Scanner agora abrem um passo obrigatorio de Descricao tecnica antes de salvar a evidencia.
A descricao aparece no card da evidencia e pode ser corrigida quando o registro e canonico em diagnostic_evidence.
Ao salvar uma correcao, a evidencia volta para reanalise IA sem criar escrita nova em anexos legados de os_attachments.
Fonte: Solicitacao operacional - contrato mobile de descricao tecnica em evidencias
IA de evidencias valida acesso antes de analisar
A Edge analyze_upload agora confirma que a evidencia pertence ao escopo visivel do usuario antes de usar service_role para processar imagem, PDF e descricao tecnica.
SupabaseOperacao
Ver detalhes
A funcao passa a diferenciar evidencia inexistente de evidencia sem acesso, retornando 404 ou 403 antes de qualquer atualizacao privilegiada.
A validacao usa a leitura autenticada com RLS em diagnostic_evidence antes de buscar o registro completo com service_role.
O caminho multimodal, o fallback textual e o guard contra DTC falso continuam preservados.
A OS Web agora permite corrigir ou complementar a descricao tecnica de evidencias ja enviadas, mantendo a IA alinhada ao contexto informado pelo mecanico.
WebOperacao
Ver detalhes
Cards de Fotos e Evidencias ganharam atalho para editar a descricao tecnica de arquivos canonicos.
Ao salvar a descricao, a evidencia e marcada para nova analise IA usando o arquivo e o texto atualizado.
Anexos legados continuam somente leitura, preservando compatibilidade sem novos writes em os_attachments.
Fonte: Solicitacao operacional - editar descricao das evidencias
Evidencias da OS exigem descricao tecnica
Uploads em Fotos e Evidencias agora pedem contexto tecnico por arquivo e a IA usa a descricao junto com imagem ou PDF quando analisa o caso.
WebSupabaseOperacao
Ver detalhes
Fotos e Evidencias da OS abrem uma fila antes do envio, exigindo Descricao tecnica individual para cada arquivo.
A descricao salva aparece nos cards da galeria e acompanha o resumo IA quando existir.
PDFs de scanner continuam usando o importador canonico, agora recebendo a descricao informada pelo mecanico.
A Edge analyze_upload tenta enviar imagens e PDFs suportados para o Gemini com inline_data e registra quando precisou cair para analise textual.
Fonte: Solicitacao operacional - evidencias da OS com descricao tecnica para IA
OS mostra motor e ECU corretos do veiculo
A tela Web da ordem de servico passa a exibir dados completos do carro e o cadastro do veiculo permite vincular o perfil de motor e a ECU tecnica.
WebOperacao
Ver detalhes
O card Veiculo da OS agora mostra ano fab/modelo, combustivel, chassi, RENAVAM, cidade/UF, KM de entrada, KM cadastrado, motor e ECU.
O cadastro de veiculo ganhou seletor de Modelo correto do motor e Modelo da ECU, filtrando ECUs pelo motor escolhido.
Quando uma ECU e selecionada, o veiculo fica em modo manual para o scanner; sem ECU, o perfil volta ao modo automatico para preservar fallback seguro.
A frota Web passa a carregar e exibir a ECU vinculada ao lado do perfil de motor.
Fonte: Solicitacao operacional - OS com dados tecnicos do veiculo
Scanner tecnico reconhece OBDLink pela sessao real
A tela tecnica passa a usar a identidade viva do adaptador para nao rebaixar OBDLink/STN a ELM327 padrao quando a rota veio incompleta.
AndroidSupabaseOperacao
Ver detalhes
O bridge do scanner agora promove o adaptador a premium quando MAC, nome ou fingerprint comprovam familia OBDLink/STN.
O chip e o resumo tecnico usam a mesma classificacao efetiva da sessao Bluetooth, preservando o protocolo e os PIDs reais anunciados pela ECU.
Quando a ECU nao libera PIDs de polling, o Scanner Tecnico ainda publica a tensao valida do adaptador via ATRV para diagnostico com meia-chave.
Foi adicionada uma coleta de homologacao Fiat KWP read-only no Scanner Tecnico para capturar respostas brutas por fase de oficina e comparar com scanners externos.
No Palio KWP, a tela continua tratando apenas os PIDs suportados pela ECU, sem inventar sensores nao liberados.
Foi preparado um perfil remoto conservador Fiat Palio Fire Flex KWP 2008/2009 para separar este veiculo do fallback generico apos aprovacao de push do Supabase.
Fonte: Round 603 - Palio OBDLink live diagnostics
Release notes voltam ao horario local correto
As notas publicas passam a usar horario de Sao Paulo de forma explicita e o validador bloqueia novas entradas com horario no futuro.
WebSupabaseOperacao
Ver detalhes
Horarios recentes que tinham sido registrados como UTC/local+3 foram reconciliados com o horario local dos commits.
A validacao de release notes agora rejeita entradas datadas de hoje com hora futura em America/Sao_Paulo.
A pagina publica continua exibindo o campo time literalmente, agora com protecao para evitar drift de timezone.
Fonte: Round 601 - Release notes local time guard
Catalogo de pecas remove acesso anonimo e escrita ampla
A tabela parts passa a ter RLS ativo: leitura autenticada de pecas globais/proprias e CRUD restrito a gestores do catalogo da oficina.
SupabaseWebAndroidOperacao
Ver detalhes
parts agora permite leitura autenticada de pecas globais e de pecas da propria empresa.
Cadastro, edicao e remocao ficam restritos a usuarios autenticados com gestao de catalogo, com escopo por empresa quando company_id existir.
Policies antigas TO public sao removidas e anon deixa de ter acesso direto pela Data API.
Atualizacao de item de O.S. agora so informa catalogo sincronizado quando o banco confirma uma linha alterada.
Fonte: Round 600 - Parts catalog RLS hardening
Configuracoes da oficina ficam escopadas por empresa
A tabela company_settings passa a ter RLS por empresa, mantendo leitura e salvamento autenticados sem acesso anonimo nem DELETE direto por clientes.
SupabaseWebOperacao
Ver detalhes
company_settings agora permite SELECT, INSERT e UPDATE apenas para usuarios autenticados da empresa ativa.
A policy antiga Consolidated Manage Company Settings, que era FOR ALL TO public, foi substituida por policies separadas com WITH CHECK.
O markup de pecas usado nas configuracoes e na O.S. Web continua funcionando, mas outro tenant nao consegue ler ou alterar esses ajustes.
Fonte: Round 599 - Company settings RLS hardening
Catalogo global de produtos fica somente leitura
A tabela products passa a ter RLS ativo e leitura autenticada explicita, sem acesso anonimo e sem escrita direta por clientes.
SupabaseWebAndroidOperacao
Ver detalhes
products agora permite SELECT apenas para usuarios autenticados e mantem service_role para rotinas de catalogo.
Policies antigas Admin Products e Select Products sao removidas quando existirem, junto com grants amplos vistos no snapshot remoto salvo.
O Web continua podendo enriquecer itens de O.S. e buscar pecas por RPC, mas clientes nao conseguem inserir, atualizar ou apagar produtos diretamente.
Fonte: Round 598 - Products catalog RLS hardening
Presenca online de veiculos fica escopada por veiculo
A presenca online usada pelo mapa Web e pelo Android OBD passa a ter RLS por veiculo, sem acesso anonimo e sem DELETE direto por clientes.
SupabaseWebAndroidOperacao
Ver detalhes
vehicle_presence agora permite leitura, insercao e heartbeat apenas para usuarios autenticados com acesso ao veiculo.
Policies antigas amplas de presenca online sao removidas quando existirem, incluindo o SELECT autenticado sem escopo visto no snapshot remoto salvo.
O Android continua usando o upsert por vehicle_id e o Web continua lendo a lista/mapa de veiculos online, mas o contrato passa a bloquear outro tenant por RLS.
Fonte: Round 597 - Vehicle presence RLS hardening
Artefatos runtime de diagnostico ficam isolados por sessao
As anomalias e snapshots de parametros do scanner passam a ter RLS por sessao diagnostica, sem acesso anonimo e sem DELETE direto por clientes.
SupabaseWebAndroidOperacao
Ver detalhes
anomaly_log agora permite leitura, insercao e atualizacao apenas quando o usuario pode acessar a sessao diagnostica.
parameter_snapshots ficou em leitura autenticada por sessao; escritas diretas passam a ser restritas ao backend.
A tela Web de detalhe diagnostico passa a ordenar snapshots por captured_at e mapear os campos reais da tabela.
Catalogo de adaptadores OBD remove anon e DELETE direto
A tabela legada obd_adapters passa a ter RLS ativo, sem acesso anonimo e sem DELETE direto por clientes, preservando o upsert autenticado do Android.
SupabaseAndroidWebOperacao
Ver detalhes
obd_adapters agora tem policies separadas de SELECT, INSERT e UPDATE para authenticated.
A policy remota ampla Authenticated users can manage adapters e nomes legados sao removidos quando existirem.
O contrato mobile de fingerprint por MAC continua funcionando, mas o catalogo segue compartilhado entre usuarios autenticados ate existir ownership tenant-scoped.
Fonte: Round 595 - OBD adapters RLS hardening
Sessoes OBD de homologacao ficam isoladas por usuario
As tabelas legadas obd_sessions, obd_pid_support, obd_command_log e obd_readings passam a ter RLS por public.users.id, e o Android grava sessoes com a identidade canonica.
SupabaseAndroidWebOperacao
Ver detalhes
obd_sessions agora usa public.get_user_id() e o helper can_access_vehicle para permitir apenas sessoes do usuario canonico e veiculos autorizados.
PID support, command log e leituras OBD ficaram escopados pela sessao dona, sem acesso anonimo ou DELETE direto de authenticated.
O app Android deixa de gravar auth.users.id bruto em obd_sessions e filtra historico e score pelo public.users.id resolvido.
A tabela telemetry_ai_history passa a ter RLS ativo e deixa de expor acesso direto pela Data API, preservando apenas service_role para arquivo legado.
SupabaseWebAndroidOperacao
Ver detalhes
telemetry_ai_history agora fica em default-deny para anon/authenticated.
Policies legadas locais e nomes vistos no snapshot remoto foram removidos pela migration.
Web e Android continuam sem depender de acesso direto a essa tabela; o residuo mobile permanece tratado como persistencia nao critica.
Fonte: Round 593 - telemetry AI history RLS hardening
Cache de videos DTC fica isolado por usuario
A tabela youtube_recommendations passa a ter RLS ativo e acesso limitado ao proprio usuario, com a Edge Function resolvendo o public.users.id antes de usar o cache.
SupabaseWebAndroidOperacao
Ver detalhes
youtube_recommendations agora permite apenas SELECT e INSERT do cache do usuario autenticado.
A Edge youtube_dtc_videos deixou de gravar o auth.users.id bruto e passa a resolver public.users.id.
anon continua sem acesso direto e service_role segue preservado para operacao interna.
A tabela company_invites passa a ter RLS ativo e deixa de expor privilegios diretos pela Data API, preservando o fluxo atual de equipe em company_members.
SupabaseWebAndroidOperacao
Ver detalhes
company_invites agora fica em default-deny para anon/authenticated.
A policy legada admins_view_invites foi removida para evitar leitura direta por clientes.
O fluxo Web atual de equipe continua usando company_members, sem depender dessa tabela legada.
Fonte: Round 591 - company invites RLS hardening
Links publicos de O.S. mantem token e ganham bloqueio direto
A tabela service_order_public_links passa a ter RLS ativo e deixa de expor acesso direto pela Data API, mantendo o portal publico por token via get_public_service_order.
SupabaseWebAndroidOperacao
Ver detalhes
service_order_public_links agora fica em default-deny para anon/authenticated.
O acesso publico de cliente continua passando pela RPC get_public_service_order(token).
Smokes locais cobriram token valido, expirado, inativo e inexistente.
Fonte: Round 590 - service order public links RLS hardening