IMPORTADO / SEGURANÇA

O VERCEL É SEGURO? ANÁLISE DE SEGURANÇA 2026 | VIBEEVAL

Infraestrutura de nível enterprise

O Vercel fornece segurança de infraestrutura robusta — HTTPS automático, CDN global com proteção contra DDoS e gerenciamento de segredos criptografados. A plataforma cuida da segurança da infraestrutura para você focar na segurança da aplicação.

Mas: o Vercel empurra a fronteira de segurança pra cima, pro seu código e pra configuração da sua conta. A plataforma em si é sólida, mas a superfície de ataque que sobra — Edge Functions, middleware, env vars, integrações OAuth — é justamente a superfície onde ocorreram os incidentes dos últimos dois anos.

Considerações de segurança

Funções serverless

Funções Edge e serverless podem expor vulnerabilidades de API. Implemente autenticação e validação de entrada adequadas. Padrões de falha mais comuns: sem rate limit (uma URL vazada de um proxy pra OpenAI te custa por hora), sem validação de input (uma operação tipo eval em input de usuário), ou lógica de auth que só cobre o happy path e no negativo segue com next() em vez de 401.

// middleware.ts — chequeio de auth mínimo que realmente rejeita
import { NextResponse } from "next/server";

export function middleware(req: Request) {
  const token = req.headers.get("authorization");
  if (!token || !verifyJwt(token)) {
    return new NextResponse("Unauthorized", { status: 401 });
  }
  return NextResponse.next();
}

export const config = { matcher: ["/api/:path*"] };

Variáveis de ambiente

Escopo das variáveis de ambiente importa. Deploys de preview não devem ter credenciais de produção. O incidente de abril de 2026 envolvendo o app OAuth da Context.ai expôs variáveis de ambiente que não estavam marcadas como “sensíveis” em alguns clientes Vercel, incluindo chaves de API e credenciais de banco.

Três regras que recomendamos em toda auditoria:

  1. Use a flag Sensitive. No Vercel, “Sensitive” não é só estética — os valores somem dos logs, leituras de dashboard e muitos escopos OAuth. Aplique em todo segredo, sem exceção.
  2. Separe credenciais de preview. Um banco sandbox separado, uma chave de Stripe Test separada. Se a branch de preview vazar (e ela vaza, é da natureza dela), o estrago fica contido.
  3. Proíba vercel env pull no CI. O comando escreve todas as env vars em texto puro num arquivo .env local. Logs de CI têm o costume de terminar em discos locais — e depois no S3.

Deploys de preview

Deploys de preview são publicamente acessíveis por padrão. Configure autenticação para projetos sensíveis. Para qualquer projeto que conversa com APIs reais ou tem fluxos de auth reais, ative Deployment Protection: Standard pra reviews internos, SSO pra times com IdP, ou Password Protection pra stakeholders externos.

Código da aplicação

O Vercel protege a infraestrutura, não o seu código. XSS, problemas de autenticação e vulnerabilidades de API são responsabilidade sua. Configure os headers de segurança via vercel.json uma vez globalmente, em vez de confiar em cada rota:

{
  "headers": [
    {
      "source": "/(.*)",
      "headers": [
        { "key": "Strict-Transport-Security", "value": "max-age=63072000; includeSubDomains; preload" },
        { "key": "X-Content-Type-Options", "value": "nosniff" },
        { "key": "X-Frame-Options", "value": "DENY" },
        { "key": "Referrer-Policy", "value": "strict-origin-when-cross-origin" },
        { "key": "Content-Security-Policy", "value": "default-src 'self'; script-src 'self'" }
      ]
    }
  ]
}

Edge Middleware

O middleware roda no edge antes de cada rota. Isso é poderoso — e perigoso se um refactor desligar silenciosamente. Pine os paths do matcher explicitamente em vez de abrir com wildcards, e escreva um teste por middleware que verifique 401 em uma request não autenticada.

Integrações OAuth no dashboard

O Vercel permite que apps OAuth de terceiros se vinculem à sua conta — bots de Slack, ferramentas de CI/CD, plataformas de observabilidade. Cada uma tem um escopo, e o escopo padrão costuma ser mais amplo que o necessário. Audite em Account Settings → Integrations pelo menos a cada trimestre o que ainda é usado de fato e revogue o resto.

Avaliação de segurança

Pontos fortes

    • Segurança de infraestrutura enterprise-grade
    • HTTPS automático e TLS 1.3
    • Proteção contra DDoS embutida
    • Conformidade SOC 2 Type II
    • Variáveis de ambiente criptografadas
    • Controles de acesso em deploys de preview

Preocupações

    • Segurança da aplicação é responsabilidade do desenvolvedor
    • Funções serverless podem expor vulnerabilidades
    • Variáveis de ambiente precisam de escopo adequado
    • Deploys de preview podem expor features sensíveis
    • Apps OAuth de terceiros (como o incidente Context.ai de abril/2026) podem acessar env vars não marcadas como sensíveis

Aspectos enterprise

Nos planos Pro e Enterprise, o Vercel oferece recursos relevantes pra ambientes regulados:

  • SSO via SAML. No Enterprise, o Vercel força SSO pra todos os membros do time. Pra qualquer um que conversa com auditores: essa é a resposta pra “quem tem acesso ao dashboard de deployments?”.
  • Audit logs. Cada ação do dashboard (deployment, edição de env var, mudança de domínio) é logada. Stream pra S3, Datadog ou Splunk. Sem backup externo, num incidente você só tem o que o UI do Vercel te mostra.
  • Fronteira SOC 2. O Vercel é SOC 2 Type II compliant, mas a conformidade vale pra operações de plataforma. Seu código, sua higiene de env vars e seus apps OAuth ficam fora da fronteira — e essa é exatamente a camada onde os incidentes acontecem.
  • Secure Compute. No Enterprise tem workers dedicados de build e runtime, allowlists de IP de saída e Vercel Functions privadas. Necessário pra workloads regulados, não substitui segurança da app.

O veredito

O Vercel é uma plataforma de deploy segura, com excelente segurança de infraestrutura. A conformidade SOC 2 e os recursos automáticos de segurança tornam a plataforma adequada para produção. Concentre seus esforços de segurança no código da sua aplicação, nos endpoints da API e no gerenciamento correto de variáveis de ambiente — especialmente em quais apps OAuth você autorizou a acessar seu dashboard.

Três checagens antes de cada launch: (1) Cada env var que não pode chegar no navegador está marcada como Sensitive. (2) Deployment Protection está ativo em Preview. (3) Cada app OAuth em Integrations ainda é usado, ou foi revogado.

Recursos relacionados

Como proteger o Vercel

Guia passo a passo de segurança — scoping de env vars, padrões de middleware, configuração de headers, auditoria de OAuth.

Checklist de segurança do Vercel

Checklist de segurança interativo pré-launch.

Token Leak Checker

Encontra chaves de API e segredos vazados no seu bundle de frontend ou em logs de build.

Auditoria de Edge Functions

Checa cada Edge e Serverless Function em busca de auth ausente, falta de rate limit e validação de input.

Riscos de segurança de vibe coding

Visão geral dos padrões de falha que código gerado por IA introduz tipicamente em apps deployadas no Vercel.

Escaneie seu app Vercel

Deixe o VibeEval escanear seu deploy no Vercel em busca de vulnerabilidades de segurança — env vars vazadas no bundle, URLs de preview desprotegidas, brechas de auth em API routes, headers de segurança ausentes. Resultados em menos de 60 segundos, com arquivo e número de linha pra corrigir.

/ FAQ

COMMON QUESTIONS

01
O Vercel é seguro como plataforma?
Sim. O Vercel é SOC 2 Type II compliant, termina TLS 1.3 automaticamente, protege contra DDoS no edge e criptografa variáveis de ambiente em repouso. As vulnerabilidades que encontramos em apps Vercel quase sempre estão no código da aplicação, em env vars com escopo errado ou em apps OAuth de terceiros com permissões amplas no dashboard — não na plataforma.
Q&A
02
O que foi o incidente da Context.ai em abril de 2026?
Um app OAuth chamado Context.ai tinha escopos amplos em muitas contas Vercel, incluindo leitura de todas as variáveis de ambiente — não só as marcadas como sensíveis. Quando o provedor OAuth foi comprometido, as env vars exfiltradas ficaram expostas. Lição: use a flag Sensitive, audite apps OAuth de terceiros regularmente e não espelhe segredos de produção em escopos de preview.
Q&A
03
Os deploys de preview do Vercel são públicos por padrão?
Sim. Cada push para uma branch com integração Vercel gera uma URL pública adivinhável. Ative `Deployment Protection` (Standard, SSO ou Password) para cada projeto com lógica de auth não trivial ou chaves de API reais, ou qualquer um com a URL da branch consegue bater nas suas features WIP.
Q&A
04
Como faço o scope correto das variáveis de ambiente?
O Vercel tem três escopos: Production, Preview, Development. Segredos de produção só vão em Production. Preview precisa de credenciais próprias e de baixo privilégio (chave Stripe separada, banco sandbox). Marque como Sensitive tudo que não deve chegar no navegador — valores Sensitive deixam de ser visíveis no dashboard e em leituras OAuth.
Q&A
/ NEXT STEP

ANALISE SEU APP

Teste de 14 dias. Sem cartão. Resultados em menos de 60 segundos.

INICIAR SCAN GRATUITO