SkillProgramaçãoRevisão
Catálogo de Defaults Inseguros
Catálogo dos defaults inseguros mais comuns em frameworks, bancos, cloud e cripto, com os valores seguros a definir explicitamente. Use como referência ao configurar novos serviços ou em auditoria pré-lançamento.
Ações
PerfilDev
ProfundidadeMédia
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Tornar visíveis os defaults inseguros para que a equipe os substitua explicitamente por configurações seguras, em vez de ignorar suas implicações de segurança ao subir um novo serviço ou framework.
Aplicação
Quando
faz sentido.
Usar
- Bootstrapping de um novo serviço ou framework — definir defaults seguros antes do primeiro deploy
- Auditoria de segurança pré-lançamento, checando cada default contra o catálogo
- Onboarding de um serviço de terceiros na plataforma
- Após um incidente causado por um default inseguro conhecido — codificar a lição
Não usar
- Threat modeling — use applying-stride-threat-analysis
- Revisão de segurança por PR — use reviewing-security
- Vulnerabilidades de lógica de aplicação — o catálogo de defaults não cobre isso
Prompt
Instruções
para a IA.
### Levante o terreno
Reúna a lista de frameworks, bancos e serviços de cloud em uso, o acesso de leitura à configuração atual (env vars, IaC, settings de framework) e um dono capaz de aplicar mudanças (acesso a PR, permissões de IAM).
### Percorra as categorias do catálogo
Web frameworks: ocultar o cabeçalho que vaza o framework, adicionar security headers (ex.: Helmet no Express), nunca usar CORS
### Audite e remedie
Para cada serviço, compare os defaults com o catálogo e documente os deltas com justificativa em uma tabela (serviço / default / atual / alvo / status). Gere PRs ou patches de IaC com os valores seguros e amarre um checklist de defaults seguros ao template de bootstrap de novos serviços.
### Evite armadilhas
O catálogo não é exaustivo — novos defaults surgem a cada versão. Não aplique segurança só em dev (ou só em prod), documente exceções por escrito na tabela e não pule defaults de cloud/IAM achando que "o time de infra cuida".
Reúna a lista de frameworks, bancos e serviços de cloud em uso, o acesso de leitura à configuração atual (env vars, IaC, settings de framework) e um dono capaz de aplicar mudanças (acesso a PR, permissões de IAM).
### Percorra as categorias do catálogo
Web frameworks: ocultar o cabeçalho que vaza o framework, adicionar security headers (ex.: Helmet no Express), nunca usar CORS
*, e em Django garantir DEBUG = False, ALLOWED_HOSTS explícito e cookies seguros. Bancos: Postgres ouvindo só em rede confiável e usando scram-sha-256; MongoDB e Redis nunca expostos sem auth. Cloud: buckets S3 privados com bloqueio de acesso público, MFA na conta root, sem chaves de acesso de longa duração e sem 0.0.0.0/0 casual em security groups. Cripto/TLS: mínimo TLS 1.2, HSTS e cifras fortes. Auth/sessões: cookies HttpOnly + Secure + SameSite=Strict, timeouts e Argon2id para hashing de senha.### Audite e remedie
Para cada serviço, compare os defaults com o catálogo e documente os deltas com justificativa em uma tabela (serviço / default / atual / alvo / status). Gere PRs ou patches de IaC com os valores seguros e amarre um checklist de defaults seguros ao template de bootstrap de novos serviços.
### Evite armadilhas
O catálogo não é exaustivo — novos defaults surgem a cada versão. Não aplique segurança só em dev (ou só em prod), documente exceções por escrito na tabela e não pule defaults de cloud/IAM achando que "o time de infra cuida".
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).