Saltar para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.replit.com/llms.txt

Use this file to discover all available pages before exploring further.

Central de Segurança do Projeto exibindo resultados da varredura de segurança do Agente com vulnerabilidades categorizadas por gravidade
Novo em segurança de dependências? Veja Conceitos de segurança para definições de CVE, SBOM, exposição, Corrigir com Agente, Republicar e Auto-Protect.

Como os resultados são categorizados

Os resultados de ambos os tipos de varredura aparecem no painel de Segurança, categorizados por nível de gravidade:
  • Crítico: Vulnerabilidades que representam um risco imediato e devem ser resolvidas antes da publicação. Exemplos incluem execução remota de código, injeção de SQL em endpoints expostos e credenciais vazadas.
  • Alto: Problemas graves que podem ser explorados sob certas condições, como cross-site scripting (XSS), fluxos de autenticação inseguros ou dependências sem patches com exploits conhecidos.
  • Médio: Problemas que representam um risco potencial, mas são menos prováveis de serem exploráveis, como cabeçalhos de segurança ausentes ou configurações de CORS excessivamente permissivas.
  • Baixo / Informativo: Problemas menores ou recomendações de boas práticas, como uso de API obsoleta ou mensagens de erro detalhadas em produção.

O que é a Central de Segurança do Projeto?

A Central de Segurança do Projeto é o hub central do seu projeto para encontrar e corrigir vulnerabilidades de segurança e privacidade antes de publicar. Abra o painel de Segurança no seu Projeto para executar varreduras, revisar descobertas e enviar problemas aceitos ao Agente para correção. A Central de Segurança do Projeto suporta dois tipos de varreduras:
  1. Varreduras automáticas de dependências: Varreduras gratuitas e leves que verificam os pacotes do projeto em relação a registros públicos de vulnerabilidades
  2. Varreduras de segurança do Agente: Revisões assistidas por IA que combinam análise de modelo com ferramentas de análise estática de código para auditar todo o seu código-fonte
Ambos os tipos de varredura exibem resultados no mesmo painel de Segurança, organizados por gravidade para que você possa focar nos problemas mais impactantes primeiro.

Varreduras automáticas de dependências

As varreduras automáticas de dependências auditam os pacotes dos quais seu projeto depende em relação a registros públicos de vulnerabilidades. Essas varreduras são gratuitas e executadas automaticamente. Quando uma nova entrada de Common Vulnerabilities and Exposures (CVE) é divulgada, o Replit verifica em relação às dependências do seu projeto e exibe quaisquer correspondências no painel de Segurança — sem necessidade de nova varredura manual. A varredura de dependências suporta Node.js/npm, Python, Go, Rust, PHP e Ruby. Por exemplo, uma varredura pode sinalizar uma vulnerabilidade conhecida em um pacote desatualizado como express@4.18.2.
O botão Corrigir tudo com o Agente no cartão de varreduras automáticas de dependências na Central de Segurança do Projeto

Auto-Protect

O Auto-Protect estende a varredura automática de dependências. Quando uma vulnerabilidade correspondente é detectada, o Replit Agent prepara e testa um patch e envia a você um link direto por e-mail. O Auto-Protect cobre apenas CVEs de dependências — para vulnerabilidades no código da sua aplicação, use varreduras de segurança do Agente. Para cada nova vulnerabilidade correspondida com as dependências do seu projeto, o Replit:
  1. Envia a você um resumo por e-mail com um link direto para o painel de Segurança do projeto afetado.
  2. Solicita ao Replit Agent que prepare e teste um patch que corrija a vulnerabilidade.
  3. Deixa o patch pendente para sua revisão no painel de Segurança.
Selecione Ir para a Tarefa para inspecionar as alterações geradas antes de aplicá-las. Após aplicar o patch, a vulnerabilidade aparece como republicação pendente até que você publique uma nova versão. Sempre republique após aplicar um patch para garantir que seu aplicativo em produção esteja seguro. O Replit envia no máximo um e-mail por Workspace para cada nova vulnerabilidade. O e-mail resume todos os projetos afetados nesse Workspace. Os administradores podem definir a gravidade mínima que aciona o Auto-Protect — por exemplo, somente crítico.

Ativar Auto-Protect

Ambas as configurações de Auto-Protect estão desativadas por padrão. Ativar o Auto-Protect requer duas configurações: uma configuração exclusiva de administrador que autoriza o Replit a preparar patches, e uma configuração pessoal que controla se você recebe e-mails sobre novas vulnerabilidades.
1

Ativar preparação de patches (somente administrador)

Vá para Configurações > Conta > Avançado e selecione a gravidade mínima (baixo, médio, alto ou crítico) na qual o Replit deve preparar correções automaticamente. Definir um limite mais alto significa que o Replit só prepara patches para as vulnerabilidades mais graves.
2

Ativar e-mails de segurança

Vá para Configurações > Personalização > Notificações por E-mail e selecione a gravidade mínima na qual você deseja ser notificado sobre novos problemas de segurança. Alto ou crítico é o típico.
As correções preparadas pelo Agente são cobradas como qualquer outro trabalho do Agente, mesmo quando preparadas proativamente pelo Auto-Protect.

Varreduras de segurança do Agente

As varreduras de segurança do Agente vão além das verificações de dependências para realizar uma auditoria abrangente de todo o seu código-fonte. O Agente de Segurança combina revisão baseada em modelo com ferramentas de análise estática como Semgrep e HoundDog.ai para encontrar vulnerabilidades que a correspondência de padrões sozinha deixaria passar. As varreduras de segurança do Agente estão disponíveis para todos os desenvolvedores pagos do Replit. Para projetos maiores, uma auditoria profunda pode levar até 15 minutos para garantir uma avaliação completa.

O que o Agente de Segurança faz

Quando você inicia uma varredura de segurança do Agente, o Agente de Segurança realiza uma revisão completa do seu código-fonte:
  1. Mapeia sua arquitetura — identifica rotas, APIs, fluxos de dados e pontos de entrada
  2. Constrói um modelo de ameaças — cria um plano de modelagem de ameaças personalizável para sua aplicação
  3. Executa análise estática — usa Semgrep e HoundDog.ai para varrer vulnerabilidades em nível de código e problemas de privacidade
  4. Analisa descobertas com IA — avalia se os problemas sinalizados são realmente exploráveis no contexto da sua aplicação, reduzindo significativamente os falsos positivos
  5. Gera um relatório de descobertas — apresenta os riscos identificados para sua revisão
As varreduras de segurança do Agente cobrem uma ampla variedade de categorias de vulnerabilidades:
  • Problemas de análise estática (SAST): Padrões de código inseguros como injeção de SQL, cross-site scripting (XSS) e cross-site request forgery (CSRF)
  • Problemas de privacidade: Dados sensíveis fluindo para destinos arriscados como logs, arquivos ou APIs de terceiros
  • Vulnerabilidades arquiteturais: Lacunas de segurança na forma como suas rotas, APIs e fluxos de dados estão estruturados
Por exemplo, a revisão pode sinalizar uma consulta de banco de dados sem parametrização: 
const query = `SELECT * FROM users WHERE username = '${userInput}'`;
Ou código que registra dados sensíveis do usuário: 
logger.info("New signup", {
  email: user.email,
  phoneNumber: user.phoneNumber,
  address: user.address,
});

Iniciando uma varredura de segurança do Agente

1
Abra o painel de Segurança no seu Projeto para acessar a Central de Segurança do Projeto.
O botão Revisar segurança no fluxo de Publicação do projeto, que abre o painel de Segurança
2
Selecione Executar varredura com o Agente.
O botão Executar varredura com o Agente destacado na Central de Segurança do Projeto
3
Opcionalmente, personalize o prompt de modelagem de ameaças para focar em áreas específicas da sua aplicação.
O popover de Opções de varredura com um campo Adicionar contexto para restringir a varredura a áreas específicas do projeto
4
Aguarde a conclusão da revisão. Normalmente leva alguns minutos, mas pode levar até 15 minutos para projetos maiores.
Após a conclusão da revisão, o Agente de Segurança gera um relatório dos riscos identificados. Você pode revisar os detalhes das vulnerabilidades, descartar descobertas que você compreende e está disposto a aceitar, ou revisar descobertas antes de enviá-las para correção. Após revisar as descobertas, envie os problemas aceitos ao Replit Agent para correção. O Agente de Segurança organiza as vulnerabilidades em tarefas separadas para que o Agente possa trabalhar em múltiplas correções em paralelo. Após as correções serem aplicadas, execute outra varredura para confirmar que os problemas foram resolvidos. Após corrigir o primeiro conjunto de descobertas, execute outra varredura. Projetos maiores podem revelar problemas adicionais após a resolução das descobertas de maior gravidade.

Limitações e boas práticas

  • Privacidade e tratamento de dados: Toda a varredura é executada na infraestrutura do Replit. Seu código e dados não são enviados ao Semgrep, HoundDog.ai ou outros terceiros. A configuração e os resultados da varredura permanecem vinculados ao seu Replit App.
  • Suporte a linguagens:
    • A varredura de dependências suporta muitos ecossistemas populares (incluindo Node.js/npm, Python, Go, Rust, PHP e Ruby).
    • A correção automática de dependências está atualmente focada em Node.js/npm.
  • Não é uma revisão de segurança completa: Use as varreduras em conjunto com revisão de código, testes, revisão de dependências e verificações do aplicativo ao vivo.
  • Execute novamente após alterações: Execute uma varredura novamente após:
    • Adicionar ou atualizar dependências
    • Fazer alterações significativas no código
    • Antes de publicar uma nova versão

Verificações de publicação

A configuração Bloquear publicação de vulnerabilidades críticas fica nas configurações Avançadas da aba Implantar (e no fluxo de Reimplantar). O Replit sempre executa uma varredura de segurança antes de publicar; essa alternância decide o que acontece quando a varredura encontra um problema de gravidade crítica:
  • Ativado — a publicação é bloqueada até que o problema seja resolvido ou descartado.
  • Desativado — a publicação prossegue e a descoberta é exibida para sua revisão.
Ative isso para garantir que nada crítico seja publicado sem sua revisão. Organizações com planos enterprise podem exigir essa configuração para todos os aplicativos.
Essa configuração costumava ser chamada de “Varredura de segurança antes de publicar” e tinha uma tag Beta. Agora saiu do Beta e foi renomeada para deixar o comportamento mais claro — a própria varredura sempre é executada de qualquer forma.

Próximos passos

  • Saiba mais sobre Publicação e como publicar seu Replit App após as varreduras estarem limpas.
  • Explore o Replit Agent para corrigir problemas de segurança e privacidade diretamente do Editor de Projeto.
  • Leia How Replit Secures AI-Generated Code para saber mais sobre a abordagem do Replit à segurança.
  • Confira as Funcionalidades do Editor para mais ferramentas para melhorar a qualidade, desempenho e confiabilidade do código.