
Novo em segurança de dependências? Consulte Conceitos de segurança para definições de CVE, SBOM, exposição, Fix with Agent, Republish e Auto-Protect.
Como os resultados são categorizados
Os resultados dos dois tipos de verificação aparecem no painel Security, categorizados por nível de severidade:- Crítico: vulnerabilidades que representam risco imediato e devem ser corrigidas antes da publicação. Exemplos incluem execução remota de código, injeção de SQL em endpoints expostos e credenciais expostas.
- Alto: problemas graves que podem ser explorados sob certas condições, como cross-site scripting (XSS), fluxos de autenticação inseguros ou dependências não corrigidas com explorações conhecidas.
- Médio: problemas que representam um risco potencial, mas com menor probabilidade de serem explorados, como cabeçalhos de segurança ausentes ou configurações de CORS excessivamente permissivas.
- Baixo / Informativo: problemas menores ou recomendações de boas práticas, como uso de APIs obsoletas ou mensagens de erro detalhadas em produção.
O que é o Project Security Center?
O Project Security Center é o hub central do seu projeto para encontrar e corrigir vulnerabilidades de segurança e privacidade antes de publicar. Abra o painel Security no seu projeto para executar verificações, revisar achados e enviar problemas aceitos ao Agent para correção. O Project Security Center oferece dois tipos de verificação:- Verificações automáticas de dependências: verificações gratuitas e leves que comparam os pacotes do projeto com registros públicos de vulnerabilidades
- Verificações de segurança do Agent: revisões assistidas por IA que combinam análise de modelo com ferramentas de análise estática de código para auditar toda a sua base de código
Verificações automáticas de dependências
As verificações automáticas de dependências auditam os pacotes dos quais seu projeto depende em relação a registros públicos de vulnerabilidades. Essas verificações são gratuitas e são executadas automaticamente. Quando uma nova entrada de Common Vulnerabilities and Exposures (CVE) é divulgada, o Replit a compara com as dependências do seu projeto e exibe qualquer correspondência no painel Security — sem necessidade de reverificação manual. A verificação de dependências oferece suporte a Node.js/npm, Python, Go, Rust, PHP e Ruby. Por exemplo, uma verificação pode sinalizar uma vulnerabilidade conhecida em um pacote desatualizado comoexpress@4.18.2.

Auto-Protect
O Auto-Protect estende a verificação automática de dependências. Quando uma vulnerabilidade correspondente é detectada, o Replit Agent prepara e testa uma correção e envia a você um e-mail com um link direto. O Auto-Protect cobre apenas CVEs de dependências — para vulnerabilidades no código da sua aplicação, use as verificações de segurança do Agent. Para cada nova vulnerabilidade correspondente às dependências do seu projeto, o Replit:- Envia um e-mail com um resumo e um link direto para o painel Security do projeto afetado.
- Solicita ao Replit Agent que prepare e teste uma correção para a vulnerabilidade.
- Deixa a correção pendente de revisão no painel Security.
Ativar o Auto-Protect
Ambas as configurações do Auto-Protect estão desativadas por padrão. Ativar o Auto-Protect requer duas configurações: uma configuração exclusiva para administradores que autoriza o Replit a preparar correções, e uma configuração pessoal que controla se você recebe e-mails sobre novas vulnerabilidades.Ativar a preparação de correções (somente administradores)
Vá em Settings > Account > Advanced e selecione a severidade mínima (baixa, média, alta ou crítica) a partir da qual o Replit deve preparar automaticamente as correções. Definir um limite mais alto significa que o Replit prepara correções apenas para as vulnerabilidades mais graves.
Correções preparadas pelo Agent são cobradas como qualquer outro trabalho do Agent, mesmo quando preparadas proativamente pelo Auto-Protect.
Verificações de segurança do Agent
As verificações de segurança do Agent vão além das verificações de dependências para realizar uma auditoria completa de toda a sua base de código. O Security Agent combina revisão baseada em modelo com ferramentas de análise estática como Semgrep e HoundDog.ai para encontrar vulnerabilidades que a correspondência de padrões isoladamente não detectaria. As verificações de segurança do Agent estão disponíveis para todos os criadores pagantes do Replit. Para projetos maiores, uma auditoria profunda pode levar até 15 minutos para garantir uma avaliação completa.O que o Security Agent faz
Ao iniciar uma verificação de segurança do Agent, o Security Agent realiza uma revisão completa da sua base de código:- Mapeia sua arquitetura — identifica rotas, APIs, fluxos de dados e pontos de entrada
- Constrói um modelo de ameaças — cria um plano de modelagem de ameaças personalizável para sua aplicação
- Executa análise estática — usa Semgrep e HoundDog.ai para verificar vulnerabilidades no nível do código e problemas de privacidade
- Analisa os achados com IA — avalia se os problemas sinalizados são de fato exploráveis no contexto da sua aplicação, reduzindo significativamente os falsos positivos
- Gera um relatório de achados — apresenta os riscos identificados para sua revisão
- Problemas de análise estática (SAST): padrões de código inseguros, como injeção de SQL, cross-site scripting (XSS) e cross-site request forgery (CSRF)
- Problemas de privacidade: dados sensíveis fluindo para destinos de risco, como logs, arquivos ou APIs de terceiros
- Vulnerabilidades arquiteturais: brechas de segurança na forma como suas rotas, APIs e fluxos de dados estão estruturados
Iniciando uma verificação de segurança do Agent
Opcionalmente, personalize o prompt de modelagem de ameaças para focar em áreas
específicas da sua aplicação.

Limitações e boas práticas
- Privacidade e tratamento de dados: toda a verificação é executada na infraestrutura do Replit. Seu código e dados não são enviados para a Semgrep, HoundDog.ai ou outros terceiros. A configuração e os resultados da verificação permanecem vinculados ao seu Replit App.
- Suporte a linguagens:
- A verificação de dependências oferece suporte a muitos ecossistemas populares (incluindo Node.js/npm, Python, Go, Rust, PHP e Ruby).
- A correção automática de dependências está atualmente focada em Node.js/npm.
- Não é uma revisão de segurança completa: use as verificações junto com revisão de código, testes, revisão de dependências e verificações no aplicativo em produção.
- Execute novamente após alterações: execute uma nova verificação após:
- Adicionar ou atualizar dependências
- Fazer alterações significativas no código
- Antes de publicar uma nova versão
Verificações de publicação
A configuração Block publishing of critical vulnerabilities está localizada nas configurações avançadas da aba Deploy (e no fluxo de Redeploy). O Replit sempre executa uma verificação de segurança antes de publicar; essa opção determina o que acontece quando a verificação encontra um problema de severidade crítica:- Ativado — a publicação é bloqueada até que o problema seja resolvido ou descartado.
- Desativado — a publicação continua e o achado é exibido para sua revisão.
Essa configuração já foi chamada de “Security scan before publishing” e trazia uma tag de Beta. Agora ela saiu do Beta e foi renomeada para deixar o comportamento mais claro — a verificação em si sempre é executada de qualquer forma.
Próximos passos
- Saiba mais sobre Publicação e como publicar seu Replit App depois que as verificações estiverem limpas.
- Explore o Replit Agent para corrigir problemas de segurança e privacidade diretamente do Editor de Projetos.
- Leia Como o Replit protege código gerado por IA para saber mais sobre a abordagem do Replit em relação à segurança.
- Confira os recursos do Editor para mais ferramentas que melhoram a qualidade, o desempenho e a confiabilidade do código.

