Auditoria de Segurança
Peça à IA para revisar a postura de segurança do seu app, siga as boas práticas abaixo e mantenha os segredos na página Settings.
A segurança no Proyecta é gerenciada por uma combinação de padrões da plataforma, revisões conduzidas por IA e alguns hábitos que você deve cultivar. Veja como pensar sobre isso.
Execute uma auditoria de segurança
Seção intitulada “Execute uma auditoria de segurança”Abra o Command Palette (Cmd+K / Ctrl+K) e selecione Run Security Audit. Isso envia um prompt de segurança abrangente para a IA, que lê toda a sua base de código e identifica vulnerabilidades com resultados priorizados e correções específicas.
A auditoria verifica:
- Chaves de API, tokens ou senhas embutidos no código-fonte
- Variáveis de ambiente com prefixo
VITE_que expõem segredos ao cliente - Validação de entrada ausente no lado do servidor em endpoints de API
- Páginas ou endpoints de API sem autenticação
- Conteúdo de usuário sem escape adequado (riscos de XSS)
- Vulnerabilidades em dependências
- Conteúdo misto ou URLs
http://embutidas no código - Validação ausente no upload de arquivos
Você também pode executar uma auditoria de segurança manualmente pelo chat, ou limitá-la a uma área específica:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
Boas práticas de segurança
Seção intitulada “Boas práticas de segurança”Mantenha os segredos protegidos
- Armazene toda chave de API, credencial de banco de dados e token de terceiros na seção Variáveis de Ambiente da página Settings
- Nunca cole segredos em mensagens do chat nem os inclua em commits no código
- Se um segredo for exposto, revogue-o imediatamente junto ao provedor terceiro e crie um novo
Limite o acesso
- Implemente permissões baseadas em papéis no seu app (
"Add admin and member roles. Only admins can access /admin pages.") - Restrinja páginas e endpoints sensíveis a usuários autenticados
- Sempre valide a entrada do usuário no lado do servidor, nunca apenas no cliente
Use HTTPS em todos os lugares
- Todos os apps publicados no Proyecta são servidos via HTTPS automaticamente
- Certificados SSL são provisionados e renovados para você
- Para domínios personalizados, o mesmo se aplica assim que o DNS estiver apontado corretamente
Mantenha as dependências atualizadas
- Pergunte à IA periodicamente:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - Revise as alterações feitas pela IA — atualizações de dependências às vezes incluem mudanças que quebram compatibilidade
Audite após grandes mudanças
- Execute uma nova auditoria após adicionar autenticação, pagamentos, upload de arquivos ou qualquer funcionalidade que manipule dados de usuários
- Antes de publicar em produção pela primeira vez, faça uma varredura completa
O que o Proyecta gerencia para você
Seção intitulada “O que o Proyecta gerencia para você”- HTTPS e certificados para o seu subdomínio
*.proyecta.live - Variáveis de ambiente — os segredos são armazenados em um cofre dedicado e sincronizados com o backend do seu app (Convex), sem serem incluídos na sua base de código. Observação: os segredos ficam visíveis para membros do workspace com acesso ao projeto.
- Runtimes isolados — cada projeto roda em seu próprio container, de modo que problemas no ambiente de desenvolvimento não afetam outros usuários
- Execute uma auditoria antes da sua primeira publicação — uma varredura completa identifica problemas antes que entrem em produção.
- Execute novamente após grandes mudanças — adicionar autenticação, pagamentos ou upload de arquivos introduz novas superfícies de ataque.
- Limite o escopo — auditorias em áreas específicas são mais rápidas e detalhadas do que varreduras no app inteiro.