🔍 /security review
O comando /security no Claude Code faz uma analise completa do codigo em busca de vulnerabilidades e problemas de seguranca.
🎯 O que e?
- • Comando slash que aciona revisao de seguranca
- • Claude analisa o codigo buscando vulnerabilidades
- • Identifica secrets expostos, SQL injection, XSS
- • Sugere correcoes para cada problema encontrado
💡 Por que aprender?
Security review antes do deploy pode evitar dores de cabeca. Melhor prevenir vulnerabilidades do que corrigir depois de um ataque.
📚 Conceitos-chave
/security
Comando para iniciar review
OWASP Top 10
Vulnerabilidades mais comuns
Remediacoes
Correcoes sugeridas por Claude
🚨 Credentials Exposed
Credenciais expostas e um dos erros mais graves em seguranca. Tokens, senhas e API keys nunca devem estar no codigo.
🎯 O que e?
- • Secrets visiveis no codigo-fonte ou historico git
- • Bots escaneiam GitHub em busca de tokens expostos
- • Pode levar a invasoes, roubo de dados, custos
- • Mesmo deletando, historico git mantem o secret
🚨 Perigo Real
Se voce commitou um token por engano, considere-o comprometido. Rotacione imediatamente, mesmo que tenha deletado o arquivo.
📚 Conceitos-chave
.gitignore
Excluir arquivos sensiveis
Secret Scanning
GitHub alerta sobre leaks
git filter-branch
Remover do historico (complexo)
📁 MCP JSON Local
O arquivo mcp.json pode conter tokens e URLs sensiveis. Deve permanecer local e nunca ser commitado no repositorio.
🎯 O que e?
- • Arquivo de configuracao dos MCPs do Claude Code
- • Pode conter API keys e tokens de servicos
- • Deve estar listado no .gitignore
- • Cada desenvolvedor tem seu mcp.json local
💡 Por que aprender?
MCP JSON e configuracao pessoal. Compartilhar expoe suas credenciais de servicos como n8n, databases e APIs externas.
📚 Conceitos-chave
mcp.json
Config local dos MCPs
.gitignore
Adicionar mcp.json aqui
mcp.example.json
Template sem secrets para repo
🔄 Rotating Tokens
Rotacao de tokens e a pratica de trocar credenciais periodicamente ou apos suspeita de comprometimento.
🎯 O que e?
- • Gerar novo token e invalidar o antigo
- • Limita o tempo de exposicao em caso de leak
- • Deve ser feito imediatamente apos comprometimento
- • Algumas empresas rotacionam tokens periodicamente
💡 Por que aprender?
Se um token vazou, rotacionar e a unica forma de fechar a porta. Token exposto = token comprometido, sempre.
📚 Conceitos-chave
Regenerar Token
Criar novo nas settings do servico
Atualizar Envs
Trocar em todas as plataformas
Revogar Antigo
Invalidar token comprometido
🛡️ Production Safety
Seguranca em producao envolve todas as praticas para manter seu app seguro quando esta no ar e acessivel publicamente.
🎯 O que e?
- • HTTPS obrigatorio para toda comunicacao
- • Headers de seguranca configurados (CSP, HSTS)
- • Rate limiting para prevenir abuso
- • Monitoramento de erros e acessos suspeitos
💡 Por que aprender?
App em producao e alvo real. Diferente de localhost, atacantes podem encontrar e explorar vulnerabilidades.
📚 Conceitos-chave
HTTPS
Comunicacao criptografada
CORS
Controlar origens permitidas
Input Validation
Validar toda entrada do usuario
🔁 Continuous Iteration
Iteracao continua significa melhorar constantemente seu app, incluindo seguranca, em ciclos regulares de desenvolvimento.
🎯 O que e?
- • Mentalidade de melhoria constante
- • Revisar seguranca a cada nova feature
- • Atualizar dependencias regularmente
- • Monitorar e responder a incidentes
💡 Por que aprender?
Seguranca nao e um checkbox, e um processo. Ameacas evoluem, seu app deve evoluir junto.
📚 Conceitos-chave
npm audit
Checar vulnerabilidades em deps
Dependabot
Atualizacoes automaticas
Security Sprints
Ciclos dedicados a seguranca
📋 Resumo do Modulo
🎉 Parabens!
Voce concluiu a Trilha 8 - QQApp! Agora voce sabe criar web apps completos com Claude Code, desde o ambiente ate deploy seguro em producao.