Veloz Shield

Auditoria contínua para apps que rodam no Brasil.

O Shield varre seu Supabase, seu bundle JavaScript e seus headers HTTP em busca dos erros recorrentes que deixam projetos brasileiros expostos. Sem agente. Sem toque em dados reais. Recém-lançado.

Rodar a primeira auditoriaVer catálogo completo

O que verificamos

Catálogo completo →
10 checks

Supabase

Políticas de RLS, segredos vazados e hardening de headers: os erros mais comuns em aplicações que crescem rápido.

Explorar →7 checks

Segredos em bundle

Políticas de RLS, segredos vazados e hardening de headers: os erros mais comuns em aplicações que crescem rápido.

Explorar →8 checks

Headers HTTP

Políticas de RLS, segredos vazados e hardening de headers: os erros mais comuns em aplicações que crescem rápido.

Explorar →

Checks em destaque

SB-004Crítico

RLS bloqueia UPDATE/DELETE pela chave anônima

Tenta PATCH/DELETE com filtro impossível. 204 = falha (RLS aberta). 42501 = passa.

Ver detalhes →
SB-005Crítico

RLS bloqueia INSERT pela chave anônima

Sonda de INSERT com payload mínimo para confirmar que a role anon não pode criar linhas em tabelas sensíveis.

Ver detalhes →
SECRET-001Crítico

Supabase service_role JWT em bundle público

Procura por JWTs com claim `role: service_role` nos artefatos estáticos servidos ao navegador.

Ver detalhes →
HTTP-008Alto

Caminhos sensíveis fechados (.git, .env, phpinfo)

Sonda URLs comuns como `/.git/config`, `/.env`, `/.DS_Store`, `/phpinfo.php` e exige resposta 4xx.

Ver detalhes →

Como funciona

01

Conecte ou cole a URL

Aponte o Shield para um serviço Veloz ou cole uma URL pública. Sem agente, sem plugin, sem alteração no seu app.

02

Varredura não-destrutiva

Cada sonda usa um sentinela impossível. Nenhuma escrita toca dados reais. Nenhuma leitura em massa.

03

Relatório com nota e remediação

Você recebe uma nota por check, a evidência exata, o comando para reproduzir e o passo-a-passo da correção.

Perguntas frequentes

O scanner pode quebrar minha aplicação?

Não. Todo probe de escrita embute o sentinela __veloz_audit_nonexistent__ no filtro: o banco rejeita com 42501 ou responde 204 sobre uma linha que não existe. É impossível corromper dados reais.

Preciso instalar algo?

Não. O Shield trabalha contra URLs e chaves públicas (anon, bundle JS). Para checagens mais profundas, você pode opcionalmente conectar credenciais de leitura, sempre com escopo mínimo.

Vocês guardam meus segredos?

Não. Nada de chaves anônimas nem bundles é persistido além da janela da auditoria. Findings são gravados com evidência redigida, nunca o segredo completo.

Quem opera o Shield?

Time de engenharia da Veloz. Lançamento recente, sem números inflados, sem clientes-fantasma. Acompanhe as divulgações públicas em /cve.

Descubra o que está aberto no seu app, hoje.

Divulgações públicas recentes em /cve.

Começar auditoria