Pular para o conteúdo

Auditoria de Segurança

Peça à IA para revisar a postura de segurança do seu app, siga as boas práticas abaixo e mantenha os segredos na página Settings.

A segurança no Proyecta é gerenciada por uma combinação de padrões da plataforma, revisões conduzidas por IA e alguns hábitos que você deve cultivar. Veja como pensar sobre isso.

Abra o Command Palette (Cmd+K / Ctrl+K) e selecione Run Security Audit. Isso envia um prompt de segurança abrangente para a IA, que lê toda a sua base de código e identifica vulnerabilidades com resultados priorizados e correções específicas.

A auditoria verifica:

  • Chaves de API, tokens ou senhas embutidos no código-fonte
  • Variáveis de ambiente com prefixo VITE_ que expõem segredos ao cliente
  • Validação de entrada ausente no lado do servidor em endpoints de API
  • Páginas ou endpoints de API sem autenticação
  • Conteúdo de usuário sem escape adequado (riscos de XSS)
  • Vulnerabilidades em dependências
  • Conteúdo misto ou URLs http:// embutidas no código
  • Validação ausente no upload de arquivos

Você também pode executar uma auditoria de segurança manualmente pelo chat, ou limitá-la a uma área específica:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

Mantenha os segredos protegidos

  • Armazene toda chave de API, credencial de banco de dados e token de terceiros na seção Variáveis de Ambiente da página Settings
  • Nunca cole segredos em mensagens do chat nem os inclua em commits no código
  • Se um segredo for exposto, revogue-o imediatamente junto ao provedor terceiro e crie um novo

Limite o acesso

  • Implemente permissões baseadas em papéis no seu app ("Add admin and member roles. Only admins can access /admin pages.")
  • Restrinja páginas e endpoints sensíveis a usuários autenticados
  • Sempre valide a entrada do usuário no lado do servidor, nunca apenas no cliente

Use HTTPS em todos os lugares

  • Todos os apps publicados no Proyecta são servidos via HTTPS automaticamente
  • Certificados SSL são provisionados e renovados para você
  • Para domínios personalizados, o mesmo se aplica assim que o DNS estiver apontado corretamente

Mantenha as dependências atualizadas

  • Pergunte à IA periodicamente: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • Revise as alterações feitas pela IA — atualizações de dependências às vezes incluem mudanças que quebram compatibilidade

Audite após grandes mudanças

  • Execute uma nova auditoria após adicionar autenticação, pagamentos, upload de arquivos ou qualquer funcionalidade que manipule dados de usuários
  • Antes de publicar em produção pela primeira vez, faça uma varredura completa
  • HTTPS e certificados para o seu subdomínio *.proyecta.live
  • Variáveis de ambiente — os segredos são armazenados em um cofre dedicado e sincronizados com o backend do seu app (Convex), sem serem incluídos na sua base de código. Observação: os segredos ficam visíveis para membros do workspace com acesso ao projeto.
  • Runtimes isolados — cada projeto roda em seu próprio container, de modo que problemas no ambiente de desenvolvimento não afetam outros usuários
  • Execute uma auditoria antes da sua primeira publicação — uma varredura completa identifica problemas antes que entrem em produção.
  • Execute novamente após grandes mudanças — adicionar autenticação, pagamentos ou upload de arquivos introduz novas superfícies de ataque.
  • Limite o escopo — auditorias em áreas específicas são mais rápidas e detalhadas do que varreduras no app inteiro.