Esta é a documentação não oficial do n8n em português brasileiro, criada pela comunidade brasileira. Este repositório contém apenas documentação e não inclui código executável do n8n.
Este projeto de documentação é mantido de forma contínua. Reportamos vulnerabilidades relacionadas à:
| Componente | Versão | Suportado |
|---|---|---|
| Documentação | Latest | ✅ |
| Site (Docusaurus) | 3.8.x | ✅ |
| Dependências | Latest | ✅ |
Objetivo: Detectar secrets, tokens e credenciais expostas no código e documentação.
Configuração: .gitleaks.toml
- Regras customizadas para CPF/CNPJ brasileiros
- Detecção de senhas e tokens em português
- Whitelist para placeholders seguros
- Configuração específica para documentação
Uso:
# Escanear todo o repositório
npm run security:scan
# Escanear apenas arquivos modificados
gitleaks protect --config .gitleaks.toml --verbose
# Escanear commit específico
gitleaks detect --config .gitleaks.toml --source . --log-opts="--since=2024-01-01"Objetivo: Verificações automáticas antes de cada commit.
Configuração: .pre-commit-config.yaml
- Gitleaks para detecção de secrets
- Script personalizado para conteúdo sensível
- MarkdownLint para qualidade da documentação
- ESLint e TypeScript checking
Instalação:
# Instalar pre-commit
pip install pre-commit
# Instalar hooks no repositório
pre-commit install
# Executar em todos os arquivos
pre-commit run --all-filesObjetivo: Detectar e corrigir informações sensíveis específicas do projeto.
Localização: scripts/fix-sensitive-content.js
Funcionalidades:
- Detecta senhas fracas comuns
- Identifica tokens e API keys expostos
- Substitui por placeholders seguros
- Modo de verificação (
--check)
Uso:
# Corrigir automaticamente
npm run fix-sensitive-content
# Apenas verificar (não corrigir)
npm run security:check
# Verificação completa
npm run security:fullObjetivo: Verificações automáticas em pull requests e pushes.
Localização: .github/workflows/code-quality.yml
Verificações incluídas:
- Trivy para vulnerabilidades de dependências
- Gitleaks para detecção de secrets
- Script personalizado de conteúdo sensível
- Auditoria de dependências (
npm audit)
Se você encontrar vulnerabilidades de segurança neste projeto de documentação, por favor:
- Abra uma issue no repositório: GitHub Issues
- Use o prefixo
[SECURITY]no título - Descreva o problema detalhadamente
- Inclua passos para reproduzir se aplicável
Para este projeto de documentação, consideramos relevantes:
- Informações Sensíveis Expostas: Senhas, tokens ou credenciais reais na documentação
- Vulnerabilidades de Dependências: Problemas de segurança nas dependências do Docusaurus
- Cross-Site Scripting (XSS): Potencial execução de scripts maliciosos
- Configurações Inseguras: Exemplos de configuração que possam comprometer segurança
- Confirmação: Resposta inicial em até 48 horas
- Análise: Investigação completa em até 7 dias
- Correção: Implementação de fix em até 14 dias
- Publicação: Release da correção em até 21 dias
-
Senhas Comuns:
senha123,admin123,password- Senhas específicas do contexto brasileiro
-
Tokens e API Keys:
- Tokens JWT reais
- API keys do Google, AWS, etc.
- Client secrets OAuth
-
Dados Pessoais:
- CPF e CNPJ brasileiros
- Informações de identificação pessoal
-
Configurações Inseguras:
- URLs de produção em exemplos
- Credenciais hardcoded
- Detecção Automática: As ferramentas identificam potenciais problemas
- Bloqueio: Pre-commit hooks impedem commits inseguros
- Correção: Script automatizado substitui por placeholders
- Verificação: CI/CD valida que correções foram aplicadas
# Verificar apenas conteúdo sensível
npm run security:check
# Scan completo com Gitleaks
npm run security:scan
# Verificação completa
npm run security:full# Corrigir informações sensíveis
npm run fix-sensitive-content
# Aplicar correções do linter
npm run lint:fix# Executar Gitleaks com mais detalhes
gitleaks detect --config .gitleaks.toml --verbose --log-level debug
# Verificar configuração do pre-commit
pre-commit run --all-files --verbose
# Testar hook específico
pre-commit run gitleaks --all-filesEdite scripts/fix-sensitive-content.js:
const replacements = {
'novo-padrao-sensivel': 'PLACEHOLDER_SEGURO',
// ... outros padrões
};Edite .gitleaks.toml:
[[rules]]
id = "custom-rule"
description = "Minha regra personalizada"
regex = '''pattern-regex'''
tags = ["custom", "sensitive"]Edite .pre-commit-config.yaml:
- repo: local
hooks:
- id: minha-verificacao
name: Minha Verificação Personalizada
entry: meu-script.sh
language: script# 1. Instalar dependências
npm install
# 2. Instalar pre-commit (Python)
pip install pre-commit
# 3. Instalar Gitleaks
# Linux/macOS:
brew install gitleaks
# Windows: baixar do GitHub releases
# 4. Configurar hooks
pre-commit install
# 5. Executar verificação inicial
npm run security:full- Número de secrets detectados por scan
- Tipos mais comuns de violações
- Arquivos mais problemáticos
- Tempo de execução das verificações
- Gitleaks:
gitleaks-report.json - CI/CD: Artifacts do GitHub Actions
- Pre-commit: Logs locais
- Sempre execute
npm run security:checkantes de commit - Use placeholders seguros em exemplos
- Não desabilite verificações de segurança
- Reporte falsos positivos
- Verifique se CI passou em todas as verificações
- Confirme que placeholders são adequados
- Teste exemplos de configuração
- Valide que secrets não foram expostos
- ✅ Placeholders Seguros: Uso de
SUA_SENHA_AQUIem vez de senhas reais - ✅ Verificação Automática: Pipeline CI/CD com verificação de conteúdo sensível
- ✅ Auditoria de Dependências:
npm auditautomatizado - ✅ Escaneamento de Vulnerabilidades: Trivy integrado ao CI/CD
- Nunca inclua credenciais reais nos exemplos
- Use placeholders descritivos e seguros
- Revise exemplos antes de submeter PR
- Execute
npm run fix-sensitive-contentantes do commit
Para questões de segurança urgentes ou sensíveis:
- GitHub Issues: Reportar Issue
- Discussões: GitHub Discussions
Nota: Para vulnerabilidades do n8n (software principal), reporte diretamente ao repositório oficial do n8n.