Aikido
Comece de graça
Não é necessário CC
Regras

Remova a depuração e o código temporário antes de fazer confirmações: Um Guia de Segurança e Desempenho

Erro de lógica

Publicado em:
14 de novembro de 2025
Última atualização em:
14 de novembro de 2025
Regra
Remover depuração e temporário temporários antes de confirmações. 
Código que contorna a lógica, produz depuração informação,
ou pára a execução para depuração era provavelmente 
deixada para trás acidentalmente durante o desenvolvimento.

Idiomas suportados: 45+

Introdução

Código de depuração, consola.log() declarações, lógica comentada, valores de teste codificados ou depurador breakpoints, são enviados para produção com mais frequência do que a maioria das equipas admite. Estes artefactos expõem o estado interno da aplicação, criam sobrecarga de desempenho e indicam aos atacantes quais as partes da sua base de código que foram problemáticas durante o desenvolvimento. O que começa como código temporário para resolução de problemas torna-se um risco de segurança permanente se não for removido antes da implementação.

Porque é importante

Implicações para a segurança: O código de depuração na produção regista frequentemente dados sensíveis, como credenciais de utilizador, chaves de API ou PII, que não devem chegar aos registos de produção.
A consola.log(utilizador) pode descarregar um objeto de utilizador inteiro, incluindo tokens de sessão, na consola do navegador ou nos registos do servidor acessíveis ao pessoal de apoio ou a ferramentas de agregação de registos. Esta é uma das vulnerabilidades de segurança de código mais comuns que as ferramentas de revisão automática de código detectam.

Impacto no desempenho: O registo excessivo da consola cria um estrangulamento de E/S. Um ponto de extremidade de alto tráfego que registra cargas úteis de solicitação de log pode degradar os tempos de resposta em 15 a 30 ms por solicitação e aumentar os custos de armazenamento de log. O impacto no desempenho do registo em ambientes de produção Node.js aumenta rapidamente em escala.

Manutenção do código: Confirmações temporárias de código como se (verdadeiro) retornar; ou
// TODO: fix later contornam a lógica empresarial e criam confusão para os futuros responsáveis pela manutenção. Representam uma dívida técnica sem rasto documental.

Expansão da superfície de ataque: As instruções do depurador e o registo de erros detalhado revelam traços de pilha, caminhos de ficheiros, versões de dependências e fluxo lógico interno, informações úteis para reconhecimento durante ataques direcionados.

Exemplos de código

Não conforme:

async function processPayment(userId, amount) {
  console.log('Processing payment:', { userId, amount });

  const user = await db.users.findById(userId);
  console.log('User data:', user); // Logs email, tokens, everything

  debugger;

  const result = await paymentGateway.charge({
    userId: user.id,
    amount: amount
  });

  console.log('Gateway response:', result);
  return result;
}

Porque é que isto não é seguro: As instruções de consola registam PII (Informações Pessoais Identificáveis) e tokens de autenticação nos registos de produção. O depurador comentado cria ambiguidade sobre os caminhos de execução. Todos esses dados são acessíveis a qualquer pessoa com acesso ao log e fornecem aos invasores dados de reconhecimento.

Conformidade:

async function processPayment(userId, amount) {
  const user = await db.users.findById(userId);

  if (!user) {
    throw new PaymentError('User not found');
  }

  const result = await paymentGateway.charge({
    userId: user.id,
    amount: amount
  });

  await auditLog.record({
    event: 'PAYMENT_PROCESSED',
    userId: userId,
    transactionId: result.transactionId
  });

  return result;
}

Porque é que isto é seguro: O registo estruturado substitui consola.log com pistas de auditoria adequadas que captam eventos comerciais sem expor dados sensíveis do utilizador. Não existem instruções de depuração. A lógica flui linearmente sem desvios condicionais. Os registos de auditoria são centralizados, controlados por acesso e contêm apenas o contexto necessário para conformidade e depuração.

Conclusão

O código de depuração em produção não é um problema menor, é uma vulnerabilidade de segurança, uma responsabilidade de desempenho e um fardo de manutenção. Seguir as práticas recomendadas de revisão de código seguro significa detetar esses problemas antes que eles cheguem ao seu ramo principal. As regras automatizadas de qualidade do código devem impedir que o código de depuração chegue ao controlo de versões, quanto mais à produção. O segredo é ter as ferramentas certas para detetar esses problemas antes que eles sejam mesclados.

Saltar para:
Ligação de texto

Aplique esta regra no seu repositório

Experimentar gratuitamente
Não é necessário cartão
Marcar uma demonstração
Partilhar:

www.aikido.dev/code-quality-rules/remove-debugging-and-temporary-code-before-commits-a-security-and-performance-guide

FAQs

Tem perguntas?

E quanto ao registo legítimo na produção?

Utilize uma biblioteca de registo estruturada como Winston, Pino ou Bunyan para Node.js com níveis de registo configuráveis. A produção deve ser executada em INFO ou AVISO nível, nunca DEBUG. Registar apenas o contexto necessário, nunca objectos completos que contenham credenciais ou tokens. Esta abordagem à depuração de produção mantém a observabilidade sem os riscos de segurança do consola.log.

Como posso depurar a produção sem console.log?

Implemente ferramentas de observabilidade como soluções APM (DataDog, New Relic), rastreamento distribuído (Jaeger, Zipkin) e rastreamento de erros adequado (Sentry, Rollbar). Estas ferramentas fornecem informações estruturadas sem sobrecarregar o código com instruções de depuração. Para problemas urgentes, adicione temporariamente o registo atrás de sinalizadores de funcionalidades com expiração automática. As ferramentas modernas de depuração de produção oferecem melhor visibilidade do que consola declarações jamais poderiam.

E se eu precisar de manter o código comentado para referência?

Mova-o para o histórico de controlo de versões, onde ele pertence. Se você precisar fazer referência à lógica removida, faça um link para o commit SHA em um comentário de código: // Implementação anterior: veja o commit abc123. Isso mantém o código atual limpo enquanto preserva o histórico e segue as práticas recomendadas de qualidade de código.

Devemos bloquear todos os métodos da consola?

Não. console.error() e console.warn() têm usos legítimos em produção para erros irrecuperáveis ou avisos de uso de APIs obsoletas. Remova console.log(), console.debug(), console.trace() e console.dir() antes de fazer commits. A maioria das plataformas automatizadas de revisão de código pode distinguir entre métodos de consola aceitáveis e problemáticos.

E as instruções do depurador nos ficheiros de teste?

Os ficheiros de teste podem ter regras diferentes. É razoável permitir o depurador em ficheiros *.test.js ou *.spec.js, uma vez que estes nunca são executados em ambientes de produção. As regras de qualidade do código devem visar o código-fonte e não os conjuntos de testes.

Como é que lidamos com dependências de terceiros que incluem código de depuração?

Não é possível controlar diretamente o código de terceiros, mas é possível escolher dependências com o mínimo de sobrecarga de depuração, utilizar a redução e a minificação da árvore para remover código não utilizado e manter-se atento a actualizações que possam reintroduzir código de depuração. É aqui que os scanners de segurança que analisam o seu código e dependências se tornam valiosos.

Qual é o impacto no desempenho da remoção de todos os registos?

O verdadeiro ganho de desempenho vem da remoção do registo de alta frequência em caminhos quentes como manipuladores de pedidos, loops e transformações de dados. Um único console.log() em um manipulador de solicitação que processa 1000 req/s cria 1000 operações de E/S por segundo. O registro em log estruturado estratégico adiciona menos de 1 ms de sobrecarga e fornece a observabilidade necessária, tornando-o o equilíbrio certo para a depuração de JavaScript em ambientes de produção.

Regras conexas

28 de novembro de 2025
-
Actualizações de produtos e da empresa

SCA em todos os lugares: Verificar e corrigir dependências de código aberto no seu IDE

Traga o fluxo de trabalho SCA completo para o seu IDE com a verificação no editor e o AutoFix. Detecte pacotes vulneráveis, analise CVEs e aplique atualizações seguras sem sair do seu fluxo de trabalho de desenvolvimento.

#SCA

#autofix

28 de novembro de 2025
-
Actualizações de produtos e da empresa

O Safe Chain agora impõe uma idade mínima para o pacote antes da instalação

O Safe Chain agora impõe uma idade mínima de 24 horas para os pacotes para impedir que os invasores usem novas versões como ponto de entrada. Bloqueia o malware antecipadamente e volta para versões seguras.

#Malware

#SCA

25 de novembro de 2025
-
Vulnerabilidades e ameaças

Os ataques de Shai Hulud persistem através das vulnerabilidades do GitHub Actions

Os agentes da ameaça Shai Hulud estão a tirar partido das vulnerabilidades do GitHub Actions numa campanha de exploração em curso. Descubra o impacto e as medidas de segurança recomendadas.

#Malware

#Vulnerabilidades

Obter segurança gratuitamente

Proteja seu código, nuvem e tempo de execução em um sistema central.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar a digitalização
Não é necessário CC
Marcar uma demonstração
Não é necessário cartão de crédito | Resultados do scan em 32secs.