Requisitos principais
TLS obrigatório
Todas as solicitações de API devem usar HTTPS. HTTP puro é rejeitado.
Segurança de credenciais
Nunca exponha API keys ou tokens em código do lado do cliente, logs ou repositórios.
Protegendo credenciais
Suas API keys e tokens são as chaves do seu app. Mantenha-os seguros:1
Use variáveis de ambiente
Armazene credenciais em variáveis de ambiente, não no código.
2
Nunca faça commit de segredos
Adicione arquivos de credenciais ao
.gitignore. Use ferramentas como git-secrets para evitar commits acidentais.3
Rotacione regularmente
Regenere chaves periodicamente e imediatamente se suspeitar de comprometimento.
4
Use permissões mínimas
Solicite apenas os escopos OAuth que seu app realmente precisa.
Se as credenciais forem comprometidas
- Regenere imediatamente no Developer Console
- Revogue tokens antigos — regenerar invalida automaticamente as credenciais antigas
- Audite o uso — verifique atividades de API não autorizadas
- Atualize seu app — implante novas credenciais em todos os ambientes
Segurança da aplicação
Validação de entrada
Nunca confie na entrada do usuário. Valide e sanitize todos os dados antes de usá-los:Codificação de saída
Faça escape dos dados da X API antes de exibi-los em HTML para evitar XSS:Vulnerabilidades comuns a prevenir
Segurança do OAuth
Parâmetro state
Sempre use o parâmetrostate em fluxos OAuth para prevenir CSRF:
Armazenamento de tokens
Práticas de desenvolvimento seguro
Auditorias de segurança
Realize revisões de segurança regulares e testes de penetração.
Verificação de dependências
Mantenha as dependências atualizadas. Use ferramentas para detectar pacotes vulneráveis.
Logging
Registre eventos de segurança, mas nunca registre credenciais ou dados sensíveis.
Monitoramento
Configure alertas para padrões incomuns de uso da API.
Relatando problemas de segurança
Se você descobrir uma vulnerabilidade de segurança que afete o X:X Bug Bounty
Reporte vulnerabilidades nos sistemas do X através do HackerOne.
Incidente no seu app
Se seu app que usa dados do X for violado, reporte pelo mesmo canal.
Checklist de conformidade
Requisitos de segurança para desenvolvedores da X API
Requisitos de segurança para desenvolvedores da X API
- Todas as solicitações de API usam TLS/HTTPS
- Credenciais armazenadas com segurança (não em código ou logs)
- Tokens de usuário criptografados em repouso
- Validação de entrada em todos os dados fornecidos pelo usuário
- Codificação de saída para prevenir XSS
- Proteção CSRF em fluxos OAuth
- Logging de segurança ativado (sem dados sensíveis)
- Plano de resposta a incidentes documentado
- Dependências atualizadas regularmente
- Escopos OAuth mínimos solicitados
Recursos
Guia de autenticação
Implemente OAuth corretamente.
Permissões do app
Configure as permissões mínimas necessárias.