Aikido
Comece Gratuitamente
Não é necessário cc
Regras

Remova Código de Depuração e Temporário Antes dos Commits: Um Guia de Segurança e Desempenho

Bug de lógica

Publicado em:
4 de dezembro de 2025
Última atualização em:
4 de dezembro de 2025
Regra
Remova código de depuração e temporário antes dos commits. 
Código que ignora a lógica, gera informações de depuração, 
ou interrompe a execução para depuração provavelmente foi 
deixado acidentalmente durante o desenvolvimento.

Linguagens suportadas: 45+

Introdução

Código de depuração, console.log() declarações, lógica comentada, valores de teste hardcoded ou debugger breakpoints, são enviados para produção com mais frequência do que a maioria das equipes admite. Esses artefatos expõem o estado interno da aplicação, criam sobrecarga de desempenho e sinalizam aos atacantes quais partes do seu código-base foram problemáticas durante o desenvolvimento. O que começa como código temporário para solução de problemas torna-se um risco de segurança permanente se não for removido antes da implantação.

Por que isso importa

Implicações de segurança: Código de depuração em produção frequentemente registra dados sensíveis como credenciais de usuário, chaves de API ou PII que não deveriam chegar aos logs de produção.
A console.log(user) declaração pode despejar um objeto de usuário inteiro, incluindo tokens de sessão, no console do navegador ou em logs de servidor acessíveis à equipe de suporte ou ferramentas de agregação de logs. Esta é uma das vulnerabilidades de segurança de código mais comuns que as ferramentas automatizadas de revisão de código detectam.

Impacto no desempenho: O log excessivo no console cria um gargalo de I/O. Um endpoint de alto tráfego que registra payloads de requisição pode degradar os tempos de resposta em 15-30ms por requisição e inflar os custos de armazenamento de logs. O impacto no desempenho do logging em ambientes de produção Node.js se agrava rapidamente em escala.

Manutenibilidade do código: Commits de código temporários como if (true) return; ou
// TODO: fix later contornam a lógica de negócios e criam confusão para futuros mantenedores. Eles representam dívida técnica sem trilha de documentação.

Expansão da superfície de ataque: Declarações de depurador e log de erros verboso revelam stack traces, caminhos de arquivo, versões de dependência e fluxo lógico interno, informações úteis para reconhecimento durante ataques direcionados.

Exemplos de código

❌ Não-conforme:

async function processPayment(userId, amount) {
  console.log('Processing payment:', { userId, amount });

  const user = await db.users.findById(userId);
  console.log('User data:', user); // Logs email, tokens, everything

  debugger;

  const result = await paymentGateway.charge({
    userId: user.id,
    amount: amount
  });

  console.log('Gateway response:', result);
  return result;
}

Por que isso é inseguro: Declarações de console registram PII (Informações de Identificação Pessoal) e tokens de autenticação em logs de produção. O depurador comentado cria ambiguidade sobre os caminhos de execução. Todos esses dados são acessíveis a qualquer pessoa com acesso aos logs e fornecem aos atacantes dados de reconhecimento.

✅ Compatível:

async function processPayment(userId, amount) {
  const user = await db.users.findById(userId);

  if (!user) {
    throw new PaymentError('User not found');
  }

  const result = await paymentGateway.charge({
    userId: user.id,
    amount: amount
  });

  await auditLog.record({
    event: 'PAYMENT_PROCESSED',
    userId: userId,
    transactionId: result.transactionId
  });

  return result;
}

Por que isso é seguro: Logging estruturado substitui console.log com trilhas de auditoria adequadas que capturam eventos de negócio sem expor dados sensíveis do usuário. Não existem instruções de depuração. A lógica flui linearmente sem desvios condicionais. Os logs de auditoria são centralizados, com controle de acesso, e contêm apenas o contexto necessário para conformidade e depuração.

Conclusão

Depurar código em produção não é um problema menor; é uma vulnerabilidade de segurança, um passivo de desempenho e um fardo de manutenção. Seguir as melhores práticas de revisão de código seguro significa identificar esses problemas antes que cheguem à sua branch principal. Regras automatizadas de qualidade de código devem impedir que o código de depuração chegue ao controle de versão, muito menos à produção. A chave é ter as ferramentas certas para identificar esses problemas antes que sejam mesclados.

Ir para:
Link de Texto

Aplique esta regra no seu repositório

Experimente gratuitamente
Não é necessário cartão
Agendar uma demonstração
Compartilhar:

www.aikido.dev/code-quality-rules/remover-codigo-de-depuracao-e-temporario-antes-dos-commits-um-guia-de-seguranca-e-desempenho

FAQs

Dúvidas?

E quanto ao logging legítimo em produção?

Use uma biblioteca de logging estruturado como Winston, Pino ou Bunyan para Node.js com níveis de log configuráveis. A produção deve rodar em INFO ou AVISO nível, nunca DEBUG. Registre apenas o contexto necessário, nunca objetos completos contendo credenciais ou tokens. Essa abordagem para depuração em produção mantém a observabilidade sem os riscos de segurança de console.log.

Como depurar produção sem console.log?

Implemente ferramentas de observabilidade como soluções APM (DataDog, New Relic), rastreamento distribuído (Jaeger, Zipkin) e rastreamento de erros adequado (Sentry, Rollbar). Estas fornecem insights estruturados sem poluir o código com declarações de depuração. Para problemas urgentes, adicione temporariamente logs por trás de feature flags com expiração automática. Ferramentas modernas de depuração em produção oferecem melhor visibilidade do que console instruções jamais poderiam.

E se eu precisar manter o código comentado para referência?

Mova-o para o histórico do controle de versão, onde ele pertence. Se precisar referenciar uma lógica removida, faça um link para o SHA do commit em um comentário de código: // Implementação anterior: veja commit abc123. Isso mantém o código atual limpo, preserva o histórico e segue as melhores práticas de qualidade de código.

Devemos bloquear todos os métodos console.*?*

Não. console.error() e console.warn() têm usos legítimos em produção para erros irrecuperáveis ou avisos de uso de API depreciada. Remova console.log(), console.debug(), console.trace() e console.dir() antes dos commits. A maioria das plataformas automatizadas de revisão de código pode distinguir entre métodos de console aceitáveis e problemáticos.

E quanto às instruções de debugger em arquivos de teste?

Arquivos de teste podem ter regras diferentes. É razoável permitir o depurador em arquivos *.test.js ou *.spec.js, já que eles nunca são executados em ambientes de produção. As regras de qualidade de código devem ter como alvo o código-fonte, não os conjuntos de testes.

Como lidamos com dependências de terceiros que incluem código de depuração?

Você não pode controlar diretamente o código de terceiros, mas pode escolher dependências com sobrecarga mínima de debug, usar tree-shaking e minificação para remover código não utilizado e ficar de olho em atualizações que possam reintroduzir código de debug. É aqui que os scanners de segurança que analisam seu código e dependências se tornam valiosos.

Qual é o impacto no desempenho de remover todo o logging?

O ganho real de desempenho vem da remoção de logging de alta frequência em caminhos críticos, como manipuladores de requisições, loops e transformações de dados. Um único console.log() em um manipulador de requisições processando 1000 req/s cria 1000 operações de E/S por segundo. O logging estruturado estratégico adiciona menos de 1ms de sobrecarga, ao mesmo tempo em que fornece a observabilidade necessária, tornando-o o equilíbrio certo para a depuração de JavaScript em ambientes de produção.

Regras relacionadas

13 de janeiro de 2026
Atualizações de Produto e da Empresa

De “No Bullsh*t Security” a US$ 1 bilhão: acabamos de levantar US$ 60 milhões na Série B

Aikido um financiamento de US$ 60 milhões na Série B, com uma avaliação de US$ 1 bilhão, acelerando a sua visão de software autoprotegido e testes de penetração contínuos.

Nenhum item encontrado.
8 de janeiro de 2026
Vulnerabilidades e Ameaças

Vulnerabilidade Crítica no n8n Permite Execução Remota de Código Não Autenticada (CVE-2026-21858)

Uma vulnerabilidade crítica no n8n (CVE-2026-21858) permite a execução remota de código não autenticada em instâncias auto-hospedadas. Saiba quem é afetado e como remediar.

#Vulnerabilidades

6 de janeiro de 2026
Aikido

Teste de penetração orientado por IA da Coolify: sete CVEs identificados

O teste de penetração orientado por IA da Coolify identificou sete CVEs, incluindo vulnerabilidades de escalonamento de privilégios e execução remota de código. As descobertas foram divulgadas e corrigidas de forma responsável.

#Testes de Penetração com IA

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.