Pular para o conteúdo

Setup Aikido em 10 minutos

Conectar GitHub, escanear primeiro repositório e configurar alertas. Da inscrição ao primeiro relatório de risco.

9 min · Iniciante · 2 de 2

TL;DR

Cadastra → conecta GitHub → autoriza repositórios → Aikido escaneia → painel mostra issues em 5 minutos. Plano grátis cobre até 10 repos. Funciona para projeto Lovable, app interno, qualquer código.

Captura de tela
Painel principal do Aikido com issues organizadas por severidade
aikido.dev
1
Critical
2
High / Medium
3
Low / Info
4
Issue list
5
AutoTriage
Abrir ↗
  1. 1 Critical — fix obrigatório hoje — risco real explorável
  2. 2 High / Medium — planejar para esta semana / próximo sprint
  3. 3 Low / Info — higiene, sem urgência
  4. 4 Issue list — cada item tem arquivo, linha, fix sugerido, CVE
  5. 5 AutoTriage — IA filtra falso positivo antes de você ver
Painel após primeiro scan. Issues organizadas por severidade — sempre comece pelos Critical. · fonte: aikido.dev

Por que fazer isso AGORA

Cada projeto que você cria com Lovable, cada repositório que sua equipe sobe, é uma superfície de ataque. Sem ferramenta dedicada:

  • Bibliotecas com falha conhecida ficam invisíveis
  • Chave de API esquecida em commit antigo continua viva
  • Configuração de cloud aberta passa batido
  • Vulnerabilidade nova aparece na sua dependência, ninguém te avisa

Aikido resolve em uma assinatura grátis o que custaria 5 ferramentas pagas separadas.

Pré-requisitos

  1. Conta GitHub (ou GitLab/Bitbucket) com pelo menos 1 repositório
  2. 5 minutos sem interrupção
  3. Conta de email corporativo (opcional, para alertas)

Passo a passo

1 · Cadastre-se no Aikido

  1. Acesse aikido.devStart free
  2. Use login com Google ou Microsoft (mais rápido)
  3. Confirme email se solicitado
  4. No primeiro acesso, preencha: nome da empresa, equipe (tamanho), seu cargo

Aikido te leva para o painel inicial com 1 botão chamativo: Connect your code.

2 · Conecte o GitHub (ou outro Git)

  1. Clique Connect ao lado de GitHub
  2. Janela abre: GitHub OAuth → autoriza
  3. Escolha:
    • All repositories (recomendado se for sua org pessoal)
    • Selected repositories (recomendado para empresa com muitos repos)
  4. Selecione no mínimo 1 repo (idealmente o do projeto Lovable ou app principal)
  5. Confirme

Aikido começa a escanear automaticamente. Demora 3-5 minutos por repo.

3 · Espere o primeiro relatório

Enquanto roda, você pode:

  • Adicionar mais membros do time (Settings → Team → Invite)
  • Conectar Slack para alertas (Integrations → Slack)
  • Adicionar cloud account (Integrations → AWS / GCP / Azure)

4 · Leia o primeiro painel

Quando termina, o painel mostra cards de issues por severidade:

CRITICAL: 2    HIGH: 7    MEDIUM: 15    LOW: 31

Comece pelos Critical e High. Ignora Medium/Low na primeira passada.

Cada issue tem:

  • Título — o que é
  • Arquivo + linha — onde está
  • Explicação — por que é problema
  • Fix sugerido — como resolver (geralmente upgrade de versão ou troca de função)
  • CVE reference — link para vulnerabilidade pública

5 · Resolva 1 issue Critical hoje

Pegue o primeiro Critical. Geralmente é um destes:

  • Dependência vulnerável: você está usando lib xyz@1.2.3 que tem RCE conhecido. Fix: npm install xyz@1.2.8 (versão patchada).
  • Secret exposto em commit antigo: chave de API ainda nos logs do Git. Fix: rotacionar a chave imediatamente (a chave continua válida mesmo se você apagar o commit).
  • SQL injection em endpoint: query usando concatenação. Fix: parametrize.

Aikido sugere o fix exato. Se você usa Claude Code:

“Aplique o fix sugerido para essa issue do Aikido.”

Em 2 minutos o PR está pronto.

6 · Configure alertas inteligentes

Vá em Settings → Notifications:

  1. Email: ative para Critical e High
  2. Slack: conecte sua workspace → escolha canal #security (cria se não tem)
  3. AutoTriage: deixe ligado (filtra falso positivo antes de chegar em você)

Daqui em diante, você só recebe ping quando importa.

7 · Conecte cloud (se tiver)

Se você usa AWS, GCP ou Azure:

  1. Integrations → AWS (ou outro)
  2. Siga o passo a passo de criar IAM role read-only
  3. Aikido escaneia: buckets S3 públicos, security groups abertos, IAM excessivo, etc.

Para projeto Lovable (que usa Supabase por baixo):

  • Conecte Supabase em Integrations
  • Aikido vai checar RLS, exposed tables, weak policies

O que esperar nos primeiros 30 dias

SemanaAtividade
1Escaneamento inicial, descoberta dos primeiros 10-30 issues
2Resolver os Criticals, configurar AutoTriage, ajustar regras
3Conectar cloud + container scanning
4Estado estável: 0-2 Criticals na fila, alertas só quando relevante

Empresa pequena tipicamente sai do mês 1 com postura de segurança 10x melhor que antes.

Pegadinhas

  • Rotate, don’t delete. Se Aikido encontra chave de API em commit antigo, apenas apagar o commit não resolve — a chave continua válida no histórico. Rotacione na ferramenta original (Stripe, OpenAI, etc) primeiro.
  • Não ignore por hábito. Vira fila gigante que ninguém abre. Crie regra: todo Critical vira card no Linear/Jira em 24h.
  • DAST em produção causa load. Ao escanear app live, pode disparar alarme no monitoring. Configure janela de baixa demanda.
  • Compliance não é só Aikido. Para LGPD, PCI, HIPAA — auditoria humana ainda é necessária. Aikido reduz ruído, não substitui auditor.
  • AutoTriage não é perfeito. Revise periodicamente o que ele suprimiu. Pode acontecer de calibrar errado.

Plano grátis cobre o quê

Honestamente, bastante para começar:

  • 10 repositórios
  • SAST + SCA + secrets em todos
  • 1 conta de cloud
  • Container scanning ilimitado
  • Email + Slack alerts
  • AutoTriage com IA

Quando ultrapassar (10+ repos, equipe maior, compliance): planos pagos começam em US$ 350/mês.

Para projeto Lovable específico

Cobertura ideal:

Lovable project
├── Código (sincroniza com GitHub) → Aikido SAST + SCA + Secrets ✓
├── Backend Supabase → Aikido CSPM + database scan ✓
├── Vercel deploy → Aikido DAST contra URL pública ✓
└── Domínio custom → Aikido SSL/headers scan ✓

3 integrations no Aikido = cobertura 360°.

Próximo passo

Você terminou a trilha de fundação completa. Próximos caminhos:

Ou contribua: o conteúdo está no GitHub.

Entrega da lição
12 min

Tarefa

Crie conta no Aikido (Free). Conecte 1 repositório seu via GitHub/GitLab. Espere o primeiro scan terminar. Tire screenshot da primeira issue encontrada (Critical/High se houver, ou Medium).

Como saber que entregou

Screenshot mostra painel Aikido com lista de issues — pelo menos 1 issue visível com severidade indicada (Critical/High/Medium/Low) e nome do arquivo afetado.

Auto-validável · você sabe se entregou
Compartilhar resultado ↗
Fontes oficiais