Primeiros Passos

Nunca vaze uma senha: variáveis de ambiente, .gitignore e repositório privado

A falha de segurança nº 1 de quem começa a construir com IA é vazar uma senha no código. Entenda, em linguagem de gente, o que são segredos, o .env, o .gitignore e o que fazer se vazar.

Rodrigo Munhoz Reis· 09 de junho de 2026· 3 min de leitura

Nunca vaze uma senha: variáveis de ambiente, .gitignore e repositório privado

A falha de segurança número 1 de quem começa a construir com IA é simples e perigosa: deixar uma senha ou chave escrita no código e, sem querer, mandar isso para a internet. Um robô acha em minutos, e o estrago vem (conta invadida, custo na sua fatura). A boa notícia: evitar isso é fácil quando você entende 3 ideias. Vamos lá — sem jargão.

O que são "segredos"

Segredos são as chaves da sua casa digital: senhas, chaves de API (do banco de dados, de pagamento, de e-mail), tokens. Quem tem a chave, entra. Por isso elas nunca podem ficar à vista.

Ideia 1 — O arquivo de variáveis de ambiente (.env)

Em vez de escrever a chave no código, você a guarda num arquivo separado chamado .env (ou .env.local). O código apenas "pede" a chave a esse arquivo, sem nunca mostrá-la.

Pense assim: o código diz "use a chave do cofre", e o cofre (.env) fica só no seu computador.

Ideia 2 — O .gitignore (a lista do "não enviar")

Quando você manda seu projeto para o GitHub, nem tudo deve ir junto. O .gitignore é uma listinha que diz: "estes arquivos NÃO sobem". Nela entram, obrigatoriamente, o .env e qualquer arquivo de segredo.

Por que isso é o coração da segurança: com o .env no .gitignore, suas chaves ficam só com você, mesmo que o código vá para a internet.

Ideia 3 — Repositório privado

No GitHub, deixe o repositório do seu projeto privado (é grátis). Assim, só você (e quem você convidar) vê o código. Uma camada a mais de proteção.

E na hora de publicar?

Lembra que o .env não sobe? Então, ao publicar na Vercel (ou onde for), você recadastra essas mesmas chaves nas variáveis de ambiente do painel. O segredo viaja por um caminho seguro, nunca pelo código.

Socorro, acho que vazei uma chave!

Calma — e aja rápido:

Troque (revogue) a chave no serviço de origem (Firebase, Stripe etc.). A chave antiga vira inútil na hora.
Coloque a chave nova no .env e nas variáveis de ambiente.
Garanta que o .env está no .gitignore para não repetir o erro.

Apagar o arquivo do GitHub depois não basta — o histórico guarda tudo. Por isso o passo 1 (revogar) é o que importa de verdade.

Prompt pronto — seu robô de Segurança

Antes de subir qualquer projeto, cole no Copilot Chat:

Papel: Aja como um Engenheiro de Segurança de Aplicações (AppSec) sênior, paciente com iniciantes. Contexto: vou publicar meu projeto e quero ter certeza de que não estou vazando nenhum segredo; meu nível é iniciante. Objetivo: que você (1) configure meu .gitignore para ignorar todos os arquivos .env e segredos; (2) verifique, no código que eu colar, se há alguma senha, chave ou token escrito direto; (3) me explique, em linguagem simples, o que encontrou e como corrigir. Como fazer: pense passo a passo. Se eu já tiver subido algo, me diga como revogar a chave exposta. Não invente problema — se estiver tudo certo, confirme. Código ou arquivos: [cole aqui].

Regras de ouro (cole na geladeira)

Segredo nunca no código — sempre no .env.
.env sempre no .gitignore.
Repositório privado.
Vazou? Revogue a chave imediatamente.
A IA escreve; você confere antes de publicar.

Próximos passos

Use o robô Revisor de Código & Segurança na Área do Cliente antes de cada deploy.
Quer o método completo de construir com IA com segurança? Baixe o e-book IA Sem Medo nos materiais.

Segurança não é o assunto chato do final — é o que separa quem brinca de quem constrói de verdade. Agora você já está do lado certo.

Continue lendo

Primeiros Passos

Deu erro no sistema que a IA fez? Aprenda a achar o bug com o F12 e devolver para a IA

Construiu com IA e apareceu um erro? Calma. Aprenda a abrir o console (F12), encontrar a mensagem, copiar e devolver para a IA com o prompt certo — sem entender de código.

Primeiros Passos

Conecte um banco de dados sem medo: Firebase do zero para iniciantes

Seu sistema precisa guardar informações — cadastros, mensagens, pedidos. Aprenda a usar o Firebase do zero: salvar dados, criar login e, o mais importante, blindar tudo com as regras de segurança.

Primeiros Passos

Coloque seu site no ar de graça: deploy na Vercel pelo GitHub, passo a passo

Seu projeto está pronto no computador, mas ninguém vê. Aprenda a publicá-lo de graça na Vercel — do GitHub ao ar em minutos, com domínio próprio e segredos protegidos.

← Voltar ao blog

Nunca vaze uma senha: variáveis de ambiente, .gitignore e repositório privado

A falha de segurança nº 1 de quem começa a construir com IA é vazar uma senha no código. Entenda, em linguagem de gente, o que são segredos, o .env, o .gitignore e o que fazer se vazar.

Rodrigo Munhoz Reis· 09 de junho de 2026· 3 min de leitura

O que são "segredos"

Segredos são as chaves da sua casa digital: senhas, chaves de API (do banco de dados, de pagamento, de e-mail), tokens. Quem tem a chave, entra. Por isso elas nunca podem ficar à vista.

Ideia 1 — O arquivo de variáveis de ambiente (.env)

Em vez de escrever a chave no código, você a guarda num arquivo separado chamado .env (ou .env.local). O código apenas "pede" a chave a esse arquivo, sem nunca mostrá-la.

Pense assim: o código diz "use a chave do cofre", e o cofre (.env) fica só no seu computador.

Ideia 2 — O .gitignore (a lista do "não enviar")

Por que isso é o coração da segurança: com o .env no .gitignore, suas chaves ficam só com você, mesmo que o código vá para a internet.

Ideia 3 — Repositório privado

No GitHub, deixe o repositório do seu projeto privado (é grátis). Assim, só você (e quem você convidar) vê o código. Uma camada a mais de proteção.

E na hora de publicar?

Socorro, acho que vazei uma chave!

Calma — e aja rápido:

Troque (revogue) a chave no serviço de origem (Firebase, Stripe etc.). A chave antiga vira inútil na hora.
Coloque a chave nova no .env e nas variáveis de ambiente.
Garanta que o .env está no .gitignore para não repetir o erro.

Apagar o arquivo do GitHub depois não basta — o histórico guarda tudo. Por isso o passo 1 (revogar) é o que importa de verdade.

Prompt pronto — seu robô de Segurança

Antes de subir qualquer projeto, cole no Copilot Chat:

Papel: Aja como um Engenheiro de Segurança de Aplicações (AppSec) sênior, paciente com iniciantes. Contexto: vou publicar meu projeto e quero ter certeza de que não estou vazando nenhum segredo; meu nível é iniciante. Objetivo: que você (1) configure meu .gitignore para ignorar todos os arquivos .env e segredos; (2) verifique, no código que eu colar, se há alguma senha, chave ou token escrito direto; (3) me explique, em linguagem simples, o que encontrou e como corrigir. Como fazer: pense passo a passo. Se eu já tiver subido algo, me diga como revogar a chave exposta. Não invente problema — se estiver tudo certo, confirme. Código ou arquivos: [cole aqui].

Regras de ouro (cole na geladeira)

Segredo nunca no código — sempre no .env.
.env sempre no .gitignore.
Repositório privado.
Vazou? Revogue a chave imediatamente.
A IA escreve; você confere antes de publicar.

Próximos passos

Use o robô Revisor de Código & Segurança na Área do Cliente antes de cada deploy.
Quer o método completo de construir com IA com segurança? Baixe o e-book IA Sem Medo nos materiais.

Segurança não é o assunto chato do final — é o que separa quem brinca de quem constrói de verdade. Agora você já está do lado certo.