#!/usr/bin/env sh
# SAR pre-commit: lint-staged → gitleaks

pnpm exec lint-staged

# Gitleaks — detecta segredos antes de empurrar pro Gitea.
# Roda via Docker para não exigir instalação local.
# Fallback silencioso se Docker não estiver disponível (CI tem o binário nativo).
if command -v docker > /dev/null 2>&1 && docker info > /dev/null 2>&1; then
  docker run --rm \
    -v "$(pwd)":/path \
    -w /path \
    zricethezav/gitleaks:latest detect \
      --config .gitleaks.toml \
      --source . \
      --no-git \
      --redact \
      --exit-code 1
else
  echo "[pre-commit] Docker indisponível — gitleaks pulado (rode manualmente antes de push)"
fi