> ## Documentation Index
> Fetch the complete documentation index at: https://docs.replit.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Central de Segurança do Projeto

> Encontre vulnerabilidades de dependências, código e privacidade no seu projeto com verificações automáticas e revisões de segurança com tecnologia do Agent.

<Frame>
  <img src="https://mintcdn.com/replit/m66KQX7992wJ3rkk/images/security-scanner/security-scanner-hero.png?fit=max&auto=format&n=m66KQX7992wJ3rkk&q=85&s=fe56b3d0d0735cc2a6dbdba2b252badc" alt="Project Security Center mostrando os resultados de uma verificação de segurança do Agent com vulnerabilidades categorizadas por severidade" style={{ display: 'block', margin: '0 auto' }} width="3402" height="2058" data-path="images/security-scanner/security-scanner-hero.png" />
</Frame>

<Note>
  Novo em segurança de dependências? Consulte [Conceitos de segurança](/pt/features/security/concepts) para definições de CVE, SBOM, exposição, Fix with Agent, Republish e Auto-Protect.
</Note>

## Como os resultados são categorizados

Os resultados dos dois tipos de verificação aparecem no painel Security, categorizados por nível de severidade:

* **Crítico**: vulnerabilidades que representam risco imediato e devem ser corrigidas antes da publicação. Exemplos incluem execução remota de código, injeção de SQL em endpoints expostos e credenciais expostas.
* **Alto**: problemas graves que podem ser explorados sob certas condições, como cross-site scripting (XSS), fluxos de autenticação inseguros ou dependências não corrigidas com explorações conhecidas.
* **Médio**: problemas que representam um risco potencial, mas com menor probabilidade de serem explorados, como cabeçalhos de segurança ausentes ou configurações de CORS excessivamente permissivas.
* **Baixo / Informativo**: problemas menores ou recomendações de boas práticas, como uso de APIs obsoletas ou mensagens de erro detalhadas em produção.

## O que é o Project Security Center?

O Project Security Center é o hub central do seu projeto para encontrar e corrigir vulnerabilidades de segurança e privacidade antes de publicar. Abra o painel **Security** no seu projeto para executar verificações, revisar achados e enviar problemas aceitos ao Agent para correção.

O Project Security Center oferece dois tipos de verificação:

1. **Verificações automáticas de dependências**: verificações gratuitas e leves que comparam os pacotes do projeto com registros públicos de vulnerabilidades
2. **Verificações de segurança do Agent**: revisões assistidas por IA que combinam análise de modelo com ferramentas de análise estática de código para auditar toda a sua base de código

Ambos os tipos de verificação exibem os resultados no mesmo painel Security, organizados por severidade, para que você possa focar primeiro nos problemas de maior impacto.

## Verificações automáticas de dependências

As verificações automáticas de dependências auditam os pacotes dos quais seu projeto depende em relação a registros públicos de vulnerabilidades. Essas verificações são **gratuitas** e são executadas automaticamente. Quando uma nova entrada de Common Vulnerabilities and Exposures (CVE) é divulgada, o Replit a compara com as dependências do seu projeto e exibe qualquer correspondência no painel **Security** — sem necessidade de reverificação manual.

A verificação de dependências oferece suporte a Node.js/npm, Python, Go, Rust, PHP e Ruby. Por exemplo, uma verificação pode sinalizar uma vulnerabilidade conhecida em um pacote desatualizado como `express@4.18.2`.

<Frame>
  <img src="https://mintcdn.com/replit/MuLW6SmzOLVKbNrI/images/project-security-center/fix-all-with-agent.png?fit=max&auto=format&n=MuLW6SmzOLVKbNrI&q=85&s=8d6a692c34d6d106462fa714bdc703aa" alt="O botão Fix all with Agent no card de verificações automáticas de dependências no Project Security Center" width="1440" height="900" data-path="images/project-security-center/fix-all-with-agent.png" />
</Frame>

### Auto-Protect

O Auto-Protect estende a verificação automática de dependências. Quando uma vulnerabilidade correspondente é detectada, o Replit Agent prepara e testa uma correção e envia a você um e-mail com um link direto. O Auto-Protect cobre apenas CVEs de dependências — para vulnerabilidades no código da sua aplicação, use as [verificações de segurança do Agent](#agent-security-scans).

Para cada nova vulnerabilidade correspondente às dependências do seu projeto, o Replit:

1. Envia um e-mail com um resumo e um link direto para o painel **Security** do projeto afetado.
2. Solicita ao Replit Agent que prepare e teste uma correção para a vulnerabilidade.
3. Deixa a correção pendente de revisão no painel **Security**.

Selecione **Go to Task** para inspecionar as alterações geradas antes de aplicá-las. Depois de aplicar a correção, a vulnerabilidade aparece como **pending republish** até que você publique uma nova versão.

Sempre republique após aplicar uma correção para garantir que seu aplicativo em produção esteja seguro.

O Replit envia no máximo um e-mail por Workspace para cada nova vulnerabilidade. O e-mail resume todos os projetos afetados nesse Workspace. Os administradores podem definir a severidade mínima que aciona o Auto-Protect — por exemplo, apenas crítica.

#### Ativar o Auto-Protect

Ambas as configurações do Auto-Protect estão **desativadas por padrão**. Ativar o Auto-Protect requer duas configurações: uma configuração exclusiva para administradores que autoriza o Replit a preparar correções, e uma configuração pessoal que controla se você recebe e-mails sobre novas vulnerabilidades.

<Steps>
  <Step title="Ativar a preparação de correções (somente administradores)">
    Vá em **Settings** > **Account** > **Advanced** e selecione a severidade mínima (baixa, média, alta ou crítica) a partir da qual o Replit deve preparar automaticamente as correções. Definir um limite mais alto significa que o Replit prepara correções apenas para as vulnerabilidades mais graves.
  </Step>

  <Step title="Ativar e-mails de segurança">
    Vá em **Settings** > **Personalization** > **Email Notifications** e selecione a severidade mínima a partir da qual deseja ser notificado sobre novos problemas de segurança. Alta ou crítica é o comum.
  </Step>
</Steps>

<Note>
  Correções preparadas pelo Agent são cobradas como qualquer outro trabalho do Agent, mesmo quando preparadas proativamente pelo Auto-Protect.
</Note>

## Verificações de segurança do Agent

As verificações de segurança do Agent vão além das verificações de dependências para realizar uma auditoria completa de toda a sua base de código. O Security Agent combina revisão baseada em modelo com ferramentas de análise estática como [Semgrep](https://semgrep.dev/) e [HoundDog.ai](https://hounddog.ai) para encontrar vulnerabilidades que a correspondência de padrões isoladamente não detectaria.

As verificações de segurança do Agent estão disponíveis para todos os criadores pagantes do Replit. Para projetos maiores, uma auditoria profunda pode levar até 15 minutos para garantir uma avaliação completa.

### O que o Security Agent faz

Ao iniciar uma verificação de segurança do Agent, o Security Agent realiza uma revisão completa da sua base de código:

1. **Mapeia sua arquitetura** -- identifica rotas, APIs, fluxos de dados e pontos de entrada
2. **Constrói um modelo de ameaças** -- cria um plano de modelagem de ameaças personalizável para sua aplicação
3. **Executa análise estática** -- usa Semgrep e HoundDog.ai para verificar vulnerabilidades no nível do código e problemas de privacidade
4. **Analisa os achados com IA** -- avalia se os problemas sinalizados são de fato exploráveis no contexto da sua aplicação, reduzindo significativamente os falsos positivos
5. **Gera um relatório de achados** -- apresenta os riscos identificados para sua revisão

As verificações de segurança do Agent cobrem uma ampla gama de categorias de vulnerabilidades:

* **Problemas de análise estática (SAST)**: padrões de código inseguros, como injeção de SQL, cross-site scripting (XSS) e cross-site request forgery (CSRF)
* **Problemas de privacidade**: dados sensíveis fluindo para destinos de risco, como logs, arquivos ou APIs de terceiros
* **Vulnerabilidades arquiteturais**: brechas de segurança na forma como suas rotas, APIs e fluxos de dados estão estruturados

Por exemplo, a revisão pode sinalizar uma consulta de banco de dados sem parâmetros:

```javascript theme={null}
const query = `SELECT * FROM users WHERE username = '${userInput}'`;
```

Ou código que registra dados sensíveis do usuário em log:

```javascript theme={null}
logger.info("New signup", {
  email: user.email,
  phoneNumber: user.phoneNumber,
  address: user.address,
});
```

### Iniciando uma verificação de segurança do Agent

<Steps>
  <Step>
    Abra o painel **Security** no seu projeto para iniciar o Project Security Center.

    <Frame>
      <img src="https://mintcdn.com/replit/MuLW6SmzOLVKbNrI/images/project-security-center/review-security-button.png?fit=max&auto=format&n=MuLW6SmzOLVKbNrI&q=85&s=f242cc14d62a515060f1a065f6ee7bb5" alt="O botão Review security no fluxo de publicação do projeto, que abre o painel Security" width="1440" height="900" data-path="images/project-security-center/review-security-button.png" />
    </Frame>
  </Step>

  <Step>
    Selecione **Run scan with Agent**.

    <Frame>
      <img src="https://mintcdn.com/replit/MuLW6SmzOLVKbNrI/images/project-security-center/run-scan-with-agent.png?fit=max&auto=format&n=MuLW6SmzOLVKbNrI&q=85&s=32ae50df611a37d070e9640d775cca54" alt="O botão Run scan with Agent destacado no Project Security Center" width="1440" height="900" data-path="images/project-security-center/run-scan-with-agent.png" />
    </Frame>
  </Step>

  <Step>
    Opcionalmente, personalize o prompt de modelagem de ameaças para focar em áreas
    específicas da sua aplicação.

    <Frame>
      <img src="https://mintcdn.com/replit/MuLW6SmzOLVKbNrI/images/project-security-center/scan-options.png?fit=max&auto=format&n=MuLW6SmzOLVKbNrI&q=85&s=2c47ea280383a22967df5daa7f323371" alt="O popover Scan options com um campo Add context para restringir a verificação a áreas específicas do projeto" width="1440" height="900" data-path="images/project-security-center/scan-options.png" />
    </Frame>
  </Step>

  <Step>
    Aguarde a conclusão da revisão. Isso normalmente leva alguns minutos, mas pode
    levar até 15 minutos para projetos maiores.
  </Step>
</Steps>

Após a conclusão da revisão, o Security Agent gera um relatório dos riscos identificados. Você pode revisar os detalhes das vulnerabilidades, descartar achados que você entende e está disposto a aceitar, ou revisar os achados antes de enviá-los para correção.

Depois de revisar os achados, envie os problemas aceitos ao Replit Agent para correção. O Security Agent organiza as vulnerabilidades em tarefas separadas para que o Agent possa trabalhar em várias correções em paralelo. Depois que as correções forem aplicadas, execute outra verificação para confirmar que os problemas foram resolvidos.

Depois de corrigir o primeiro conjunto de achados, execute outra verificação. Projetos maiores podem revelar problemas adicionais depois que os achados de maior severidade forem resolvidos.

## Limitações e boas práticas

* **Privacidade e tratamento de dados**: toda a verificação é executada na infraestrutura do Replit. Seu código e dados não são enviados para a Semgrep, HoundDog.ai ou outros terceiros. A configuração e os resultados da verificação permanecem vinculados ao seu Replit App.
* **Suporte a linguagens**:
  * A verificação de dependências oferece suporte a muitos ecossistemas populares (incluindo **Node.js/npm**, **Python**, **Go**, **Rust**, **PHP** e **Ruby**).
  * A correção automática de dependências está atualmente focada em **Node.js/npm**.
* **Não é uma revisão de segurança completa**: use as verificações junto com revisão de código, testes, revisão de dependências e verificações no aplicativo em produção.
* **Execute novamente após alterações**: execute uma nova verificação após:
  * Adicionar ou atualizar dependências
  * Fazer alterações significativas no código
  * Antes de publicar uma nova versão

## Verificações de publicação

A configuração **Block publishing of critical vulnerabilities** está localizada nas configurações avançadas da aba Deploy (e no fluxo de Redeploy). O Replit sempre executa uma verificação de segurança antes de publicar; essa opção determina o que acontece quando a verificação encontra um problema de severidade crítica:

* **Ativado** — a publicação é bloqueada até que o problema seja resolvido ou descartado.
* **Desativado** — a publicação continua e o achado é exibido para sua revisão.

Ative essa opção para garantir que nada crítico seja lançado sem sua revisão. Organizações em planos enterprise podem exigir essa configuração para todos os aplicativos.

<Note>
  Essa configuração já foi chamada de "Security scan before publishing" e trazia uma tag de **Beta**. Agora ela saiu do Beta e foi renomeada para deixar o comportamento mais claro — a verificação em si sempre é executada de qualquer forma.
</Note>

## Próximos passos

* Saiba mais sobre [Publicação](/pt/learn/projects-and-artifacts/replit-deployments) e como publicar seu Replit App depois que as verificações estiverem limpas.
* Explore o [Replit Agent](/pt/features/agent/overview) para corrigir problemas de segurança e privacidade diretamente do Editor de Projetos.
* Leia [Como o Replit protege código gerado por IA](https://blog.replit.com/securing-ai-generated-code) para saber mais sobre a abordagem do Replit em relação à segurança.
* Confira os [recursos do Editor](/pt/features/editor/editor-and-tools) para mais ferramentas que melhoram a qualidade, o desempenho e a confiabilidade do código.
