ClearedToShip
Liberar para subir
critical

Como proteger suas variáveis de ambiente e segredos

O problema

Apps feitos com IA rotineiramente vazam segredos por colocá-los em variáveis de ambiente do lado do cliente, comitar arquivos .env ou expô-los no bundle. Tudo que está no navegador é público — os segredos precisam viver apenas no servidor.

Passo a passo

  1. 1

    Saiba quais variáveis são públicas

    Prefixos como NEXT_PUBLIC_, VITE_ ou REACT_APP_ vão para o navegador. Nunca coloque um segredo de verdade atrás de um prefixo público — apenas configurações não sensíveis.

  2. 2

    Mantenha os segredos no servidor

    Guarde segredos de API, chaves service_role e tokens em variáveis de ambiente exclusivas do servidor e acesse-os apenas a partir do código do servidor ou de funções serverless.

  3. 3

    Ignore e expurgue os arquivos .env

    Adicione .env e .env*.local ao .gitignore. Se um segredo já foi comitado, rotacione-o e expurgue-o do histórico do git — caso contrário, ele permanece em commits antigos.

  4. 4

    Faça a varredura e verifique

    Faça a varredura do seu bundle publicado e do repositório em busca de chaves expostas, e rotacione tudo que vazou.

Relacionado:O Replit é seguro?O Bolt é seguro?O Convex é seguro?O Appwrite é seguro?

Quer ver isso verificado, não só corrigido?

Corrigir é só o primeiro passo. Uma revisão do ClearedToShip confirma que a correção realmente se sustenta e te dá uma liberação assinada e com seguro para lançar. Entre no acesso antecipado:

Varredura gratuita de prontidão para o lançamento
Quero minha varredura grátis