Saltar para o conteúdo principal
Project Security Center mostrando os resultados de uma verificação de segurança do Agent com vulnerabilidades categorizadas por severidade
Novo em segurança de dependências? Consulte Conceitos de segurança para definições de CVE, SBOM, exposição, Fix with Agent, Republish e Auto-Protect.

Como os resultados são categorizados

Os resultados dos dois tipos de verificação aparecem no painel Security, categorizados por nível de severidade:
  • Crítico: vulnerabilidades que representam risco imediato e devem ser corrigidas antes da publicação. Exemplos incluem execução remota de código, injeção de SQL em endpoints expostos e credenciais expostas.
  • Alto: problemas graves que podem ser explorados sob certas condições, como cross-site scripting (XSS), fluxos de autenticação inseguros ou dependências não corrigidas com explorações conhecidas.
  • Médio: problemas que representam um risco potencial, mas com menor probabilidade de serem explorados, como cabeçalhos de segurança ausentes ou configurações de CORS excessivamente permissivas.
  • Baixo / Informativo: problemas menores ou recomendações de boas práticas, como uso de APIs obsoletas ou mensagens de erro detalhadas em produção.

O que é o Project Security Center?

O Project Security Center é o hub central do seu projeto para encontrar e corrigir vulnerabilidades de segurança e privacidade antes de publicar. Abra o painel Security no seu projeto para executar verificações, revisar achados e enviar problemas aceitos ao Agent para correção. O Project Security Center oferece dois tipos de verificação:
  1. Verificações automáticas de dependências: verificações gratuitas e leves que comparam os pacotes do projeto com registros públicos de vulnerabilidades
  2. Verificações de segurança do Agent: revisões assistidas por IA que combinam análise de modelo com ferramentas de análise estática de código para auditar toda a sua base de código
Ambos os tipos de verificação exibem os resultados no mesmo painel Security, organizados por severidade, para que você possa focar primeiro nos problemas de maior impacto.

Verificações automáticas de dependências

As verificações automáticas de dependências auditam os pacotes dos quais seu projeto depende em relação a registros públicos de vulnerabilidades. Essas verificações são gratuitas e são executadas automaticamente. Quando uma nova entrada de Common Vulnerabilities and Exposures (CVE) é divulgada, o Replit a compara com as dependências do seu projeto e exibe qualquer correspondência no painel Security — sem necessidade de reverificação manual. A verificação de dependências oferece suporte a Node.js/npm, Python, Go, Rust, PHP e Ruby. Por exemplo, uma verificação pode sinalizar uma vulnerabilidade conhecida em um pacote desatualizado como express@4.18.2.
O botão Fix all with Agent no card de verificações automáticas de dependências no Project Security Center

Auto-Protect

O Auto-Protect estende a verificação automática de dependências. Quando uma vulnerabilidade correspondente é detectada, o Replit Agent prepara e testa uma correção e envia a você um e-mail com um link direto. O Auto-Protect cobre apenas CVEs de dependências — para vulnerabilidades no código da sua aplicação, use as verificações de segurança do Agent. Para cada nova vulnerabilidade correspondente às dependências do seu projeto, o Replit:
  1. Envia um e-mail com um resumo e um link direto para o painel Security do projeto afetado.
  2. Solicita ao Replit Agent que prepare e teste uma correção para a vulnerabilidade.
  3. Deixa a correção pendente de revisão no painel Security.
Selecione Go to Task para inspecionar as alterações geradas antes de aplicá-las. Depois de aplicar a correção, a vulnerabilidade aparece como pending republish até que você publique uma nova versão. Sempre republique após aplicar uma correção para garantir que seu aplicativo em produção esteja seguro. O Replit envia no máximo um e-mail por Workspace para cada nova vulnerabilidade. O e-mail resume todos os projetos afetados nesse Workspace. Os administradores podem definir a severidade mínima que aciona o Auto-Protect — por exemplo, apenas crítica.

Ativar o Auto-Protect

Ambas as configurações do Auto-Protect estão desativadas por padrão. Ativar o Auto-Protect requer duas configurações: uma configuração exclusiva para administradores que autoriza o Replit a preparar correções, e uma configuração pessoal que controla se você recebe e-mails sobre novas vulnerabilidades.
1

Ativar a preparação de correções (somente administradores)

Vá em Settings > Account > Advanced e selecione a severidade mínima (baixa, média, alta ou crítica) a partir da qual o Replit deve preparar automaticamente as correções. Definir um limite mais alto significa que o Replit prepara correções apenas para as vulnerabilidades mais graves.
2

Ativar e-mails de segurança

Vá em Settings > Personalization > Email Notifications e selecione a severidade mínima a partir da qual deseja ser notificado sobre novos problemas de segurança. Alta ou crítica é o comum.
Correções preparadas pelo Agent são cobradas como qualquer outro trabalho do Agent, mesmo quando preparadas proativamente pelo Auto-Protect.

Verificações de segurança do Agent

As verificações de segurança do Agent vão além das verificações de dependências para realizar uma auditoria completa de toda a sua base de código. O Security Agent combina revisão baseada em modelo com ferramentas de análise estática como Semgrep e HoundDog.ai para encontrar vulnerabilidades que a correspondência de padrões isoladamente não detectaria. As verificações de segurança do Agent estão disponíveis para todos os criadores pagantes do Replit. Para projetos maiores, uma auditoria profunda pode levar até 15 minutos para garantir uma avaliação completa.

O que o Security Agent faz

Ao iniciar uma verificação de segurança do Agent, o Security Agent realiza uma revisão completa da sua base de código:
  1. Mapeia sua arquitetura — identifica rotas, APIs, fluxos de dados e pontos de entrada
  2. Constrói um modelo de ameaças — cria um plano de modelagem de ameaças personalizável para sua aplicação
  3. Executa análise estática — usa Semgrep e HoundDog.ai para verificar vulnerabilidades no nível do código e problemas de privacidade
  4. Analisa os achados com IA — avalia se os problemas sinalizados são de fato exploráveis no contexto da sua aplicação, reduzindo significativamente os falsos positivos
  5. Gera um relatório de achados — apresenta os riscos identificados para sua revisão
As verificações de segurança do Agent cobrem uma ampla gama de categorias de vulnerabilidades:
  • Problemas de análise estática (SAST): padrões de código inseguros, como injeção de SQL, cross-site scripting (XSS) e cross-site request forgery (CSRF)
  • Problemas de privacidade: dados sensíveis fluindo para destinos de risco, como logs, arquivos ou APIs de terceiros
  • Vulnerabilidades arquiteturais: brechas de segurança na forma como suas rotas, APIs e fluxos de dados estão estruturados
Por exemplo, a revisão pode sinalizar uma consulta de banco de dados sem parâmetros:
Ou código que registra dados sensíveis do usuário em log:

Iniciando uma verificação de segurança do Agent

1
Abra o painel Security no seu projeto para iniciar o Project Security Center.
O botão Review security no fluxo de publicação do projeto, que abre o painel Security
2
Selecione Run scan with Agent.
O botão Run scan with Agent destacado no Project Security Center
3
Opcionalmente, personalize o prompt de modelagem de ameaças para focar em áreas específicas da sua aplicação.
O popover Scan options com um campo Add context para restringir a verificação a áreas específicas do projeto
4
Aguarde a conclusão da revisão. Isso normalmente leva alguns minutos, mas pode levar até 15 minutos para projetos maiores.
Após a conclusão da revisão, o Security Agent gera um relatório dos riscos identificados. Você pode revisar os detalhes das vulnerabilidades, descartar achados que você entende e está disposto a aceitar, ou revisar os achados antes de enviá-los para correção. Depois de revisar os achados, envie os problemas aceitos ao Replit Agent para correção. O Security Agent organiza as vulnerabilidades em tarefas separadas para que o Agent possa trabalhar em várias correções em paralelo. Depois que as correções forem aplicadas, execute outra verificação para confirmar que os problemas foram resolvidos. Depois de corrigir o primeiro conjunto de achados, execute outra verificação. Projetos maiores podem revelar problemas adicionais depois que os achados de maior severidade forem resolvidos.

Limitações e boas práticas

  • Privacidade e tratamento de dados: toda a verificação é executada na infraestrutura do Replit. Seu código e dados não são enviados para a Semgrep, HoundDog.ai ou outros terceiros. A configuração e os resultados da verificação permanecem vinculados ao seu Replit App.
  • Suporte a linguagens:
    • A verificação de dependências oferece suporte a muitos ecossistemas populares (incluindo Node.js/npm, Python, Go, Rust, PHP e Ruby).
    • A correção automática de dependências está atualmente focada em Node.js/npm.
  • Não é uma revisão de segurança completa: use as verificações junto com revisão de código, testes, revisão de dependências e verificações no aplicativo em produção.
  • Execute novamente após alterações: execute uma nova verificação após:
    • Adicionar ou atualizar dependências
    • Fazer alterações significativas no código
    • Antes de publicar uma nova versão

Verificações de publicação

A configuração Block publishing of critical vulnerabilities está localizada nas configurações avançadas da aba Deploy (e no fluxo de Redeploy). O Replit sempre executa uma verificação de segurança antes de publicar; essa opção determina o que acontece quando a verificação encontra um problema de severidade crítica:
  • Ativado — a publicação é bloqueada até que o problema seja resolvido ou descartado.
  • Desativado — a publicação continua e o achado é exibido para sua revisão.
Ative essa opção para garantir que nada crítico seja lançado sem sua revisão. Organizações em planos enterprise podem exigir essa configuração para todos os aplicativos.
Essa configuração já foi chamada de “Security scan before publishing” e trazia uma tag de Beta. Agora ela saiu do Beta e foi renomeada para deixar o comportamento mais claro — a verificação em si sempre é executada de qualquer forma.

Próximos passos

  • Saiba mais sobre Publicação e como publicar seu Replit App depois que as verificações estiverem limpas.
  • Explore o Replit Agent para corrigir problemas de segurança e privacidade diretamente do Editor de Projetos.
  • Leia Como o Replit protege código gerado por IA para saber mais sobre a abordagem do Replit em relação à segurança.
  • Confira os recursos do Editor para mais ferramentas que melhoram a qualidade, o desempenho e a confiabilidade do código.