Skip to content

Instantly share code, notes, and snippets.

@shuantsu

shuantsu/content.md

Created November 18, 2025 21:57
Show Gist options

  • Select an option

    Learn more about clone URLs
  • Save shuantsu/cf3b275d1dd248bf8da871f227ec9ceb to your computer and use it in GitHub Desktop.

Select an option

Learn more about clone URLs
Save shuantsu/cf3b275d1dd248bf8da871f227ec9ceb to your computer and use it in GitHub Desktop.
Download ZIP
Segurança no Desenvolvimento de Apps: O Que Realmente Importa
Raw
content.md

🔒 Segurança no Desenvolvimento de Apps: O Que Realmente Importa

A segurança é ignorada na pressa, mas a maioria das vulnerabilidades vem dos mesmos erros. Veja o que mantém os apps SaaS modernos seguros, segundo o @cryptoviksant.

  • 1. Revisão de Código por IA Pega a Maioria dos Problemas

    • Ferramentas como o Coderabbit (IA) acham injeções SQL, credenciais expostas e falhas de autenticação.
    • Exemplo: Uma IA achou uma falha que dobraria a cobrança de clientes, algo que o teste comum não viu.

  • 2. Rate Limiting Detém Spam (e Economiza Grana)

    • Sem limite, o app toma golpe de milhares de cadastros falsos, o que custa em banda e e-mail.
    • Sugestão: Comece com 100 requisições por hora por IP e ajuste. Bots odeiam isso.

  • 3. Ative a Segurança em Nível de Linha (RLS) Desde o Dia Um

    • O RLS garante que o usuário só veja os próprios dados, direto no banco (Postgres é top).
    • Uma política RLS faltando já expôs todos os dados de usuários.
    • Lembrete: Use IA para gerar, mas teste na mão.

  • 4. Mantenha as Chaves de API Secretas

    • Chaves hard-coded no código sempre vazam. Bots no GitHub acham isso rápido.
    • Use Google Secret Manager ou AWS Secrets Manager.
    • Regra de Ouro: Rotacione todas as chaves a cada 90 dias. Sem choro.

  • 5. CAPTCHA Mantém Bots Fora

    • Reduz spam em mais de 90%. Sem ele, o DB enche de lixo.
    • Use CAPTCHA invisível para não atrapalhar o usuário. Coloque em cadastro, login, contato e recuperação de senha.

  • 6. HTTPS é Obrigatório

    • Todo endpoint tem que usar HTTPS. Redirecione o HTTP automaticamente.
    • Sem criptografia, tokens, senhas e chaves são expostos.
    • Use Let’s Encrypt (é grátis!).

  • 7. Sanitize Todo Input

    • Valide no frontend E no backend. Nunca confie no dado do usuário.
    • Formulários, URLs e uploads de arquivo são vetores de ameaça.

  • 8. Mantenha as Dependências Atualizadas

    • Pacotes velhos são alvos fáceis.
    • Use Dependabot ou Renovate para automatizar.
    • Prioridade máxima: Aplique patches de segurança imediatamente.

✨ Palavra Final

A velocidade da IA é boa, mas sem segurança, dá ruim. A tática vencedora:

  1. Uma IA escreve o código.
  2. Outra IA (como Coderabbit) audita.
  3. Você revisa e garante a segurança.

Esses controles básicos param 95% dos ataques. Segurança é um bom negócio: mantém usuários, reduz incidentes e constrói credibilidade a longo prazo.

@shuantsu
Copy link
Author

shuantsu commented Nov 18, 2025

Original post: https://www.reddit.com/r/vibecodingcommunity/comments/1nzytq6/this_is_how_you_make_your_vibecoded_apps_secure/?utm_source=share&utm_medium=web3x&utm_name=web3xcss&utm_term=1&utm_content=share_button

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment