Skip to main content

Guia de Boas Práticas com Senhas e Tokens dentro do Data2 Builder

Para garantir a segurança dos sistemas desenvolvidos utilizando o Data2 Builder, todos os desenvolvedores devem seguir as orientações deste guia. O descumprimento destas práticas pode deixar seu projeto vulnerável a vazamento de informações sensíveis ou comprometer a integridade do sistema.

1. Nunca exponha informações sensíveis em nenhum campo do Inspector do Builder

Nunca insira senhas, tokens, API keys ou qualquer outro dado confidencial em props de componentes (Block, Artboard, If, etc). Isso inclui qualquer campo dentro dos componentes do Data2 Builder (geralmente inserivel dentro do Inspector), mesmo se o sistema estiver em fase de testes ou desenvolvimento.

2. O local correto para segredos é o KeyVault

Sempre armazene informações sensíveis (senhas, tokens, API keys etc) no KeyVault do Data2, utilizando o próprio Renderable do KeyVault (clique no botão +Add no top superior do KeyVault e insira o nome da chave e seu valor no formulário que se abrirá dentro do Renderable do KeyVault). Nunca preencha senhas usando os campos do Inspector. O KeyVault é projetado para proteger esses dados e disponibilizá-los de forma segura e controlada para o sistema. A senha fica armazenada de forma encriptada dentro do KeyVault.

3. Atenção redobrada com mocks

Jamais inclua valores reais de senhas, tokens ou API keys em mocks: Isso vale para mocks de Components, mocks de HttpRequests ou qualquer outra simulação. Utilize apenas valores fictícios, genéricos e que NÃO funcionem para autenticação real (ex: "senha_exemplo", "token_fake123"). Se precisar testar a senha de verdade, utilize via KeyVault.

4. Checklist de segurança ao finalizar uma tarefa

Revise todos os props de todos os componentes e garanta que não há informações sensíveis. Certifique-se de que todos os dados confidenciais estão no KeyVault. Verifique os mocks dos parâmetros, certifique-se que não há senhas, tokens ou informações reais (Atenção: além das senhas e tokens, também não exponha informações de clientes, pessoas reais).

5. Detectou uma exposição? O que fazer

Mova imediatamente a senha (ou token, API key, etc) para o KeyVault. Use a ferramenta de busca do Builder para localizar todos os lugares em que o dado sensível foi inserido. Altere todas as referências diretas pela referência ao KeyVault (lembre-se: para utilizar chaves do KeyVault você precisa arrastar+soltar a chave no local que você vai utilizar). Informe ao time sobre a correção e, se necessário, gere novas credenciais para garantir a segurança.