SkillProgramaçãoRevisão

Catálogo de Defaults Inseguros

Catálogo dos defaults inseguros mais comuns em frameworks, bancos, cloud e cripto, com os valores seguros a definir explicitamente. Use como referência ao configurar novos serviços ou em auditoria pré-lançamento.

Ações
PerfilDev
ProfundidadeMédia
IdiomaInglês (skill original)
Objetivo

Em uma frase.

Tornar visíveis os defaults inseguros para que a equipe os substitua explicitamente por configurações seguras, em vez de ignorar suas implicações de segurança ao subir um novo serviço ou framework.

Aplicação

Quando
faz sentido.

Usar
  • Bootstrapping de um novo serviço ou framework — definir defaults seguros antes do primeiro deploy
  • Auditoria de segurança pré-lançamento, checando cada default contra o catálogo
  • Onboarding de um serviço de terceiros na plataforma
  • Após um incidente causado por um default inseguro conhecido — codificar a lição
Não usar
Prompt

Instruções
para a IA.

### Levante o terreno

Reúna a lista de frameworks, bancos e serviços de cloud em uso, o acesso de leitura à configuração atual (env vars, IaC, settings de framework) e um dono capaz de aplicar mudanças (acesso a PR, permissões de IAM).

### Percorra as categorias do catálogo

Web frameworks: ocultar o cabeçalho que vaza o framework, adicionar security headers (ex.: Helmet no Express), nunca usar CORS *, e em Django garantir DEBUG = False, ALLOWED_HOSTS explícito e cookies seguros. Bancos: Postgres ouvindo só em rede confiável e usando scram-sha-256; MongoDB e Redis nunca expostos sem auth. Cloud: buckets S3 privados com bloqueio de acesso público, MFA na conta root, sem chaves de acesso de longa duração e sem 0.0.0.0/0 casual em security groups. Cripto/TLS: mínimo TLS 1.2, HSTS e cifras fortes. Auth/sessões: cookies HttpOnly + Secure + SameSite=Strict, timeouts e Argon2id para hashing de senha.

### Audite e remedie

Para cada serviço, compare os defaults com o catálogo e documente os deltas com justificativa em uma tabela (serviço / default / atual / alvo / status). Gere PRs ou patches de IaC com os valores seguros e amarre um checklist de defaults seguros ao template de bootstrap de novos serviços.

### Evite armadilhas

O catálogo não é exaustivo — novos defaults surgem a cada versão. Não aplique segurança só em dev (ou só em prod), documente exceções por escrito na tabela e não pule defaults de cloud/IAM achando que "o time de infra cuida".
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).