Se você é usuário do Google Workspace, é válido ter algumas dicas de segurança em mente antes de inserir scripts no Google Apps Script. O GAS (sigla para Google Apps Script) é uma poderosa plataforma de desenvolvimento que permite automatizar tarefas e estender as funcionalidades das aplicações do Google Workspace.
No entanto, ao lidar com scripts que acessam dados sensíveis ou executam ações críticas, é essencial adotar medidas de segurança para proteger suas informações e garantir a integridade das suas aplicações. Fique atento para algumas das práticas recomendadas ao utilizar o Apps Script.
Revise códigos de terceiros
Ao utilizar scripts criados por terceiros, examine o código antes de implementá-lo. Ainda que a Google ofereça uma camada adicional de segurança, através da tela do OAuth (conceder permissões), é interessante checar se não há códigos maliciosos que podem comprometer a segurança da sua conta ou organização.
Evite utilizar scripts que você não compreenda completamente ou solicite apoio de compreensão a código usando ferramentas de IA como ChatGPT ou Google Gemini.
Use um prompt como esse:
Analise o seguinte código Google Apps Script e identifique possíveis vulnerabilidades de segurança, exposição de dados ou riscos de vazamento de informações. Considere os seguintes aspectos:
- Uso inadequado de escopos de permissão (exemplo: permissões excessivas ou desnecessárias).
- Exposição de credenciais, chaves de API ou dados sensíveis no código-fonte.
- Armazenamento inadequado de informações confidenciais (exemplo: salvar senhas diretamente no script).
- Execução de funções com potencial de acesso indevido a dados do usuário.
- Dependências externas inseguras ou não verificadas.
- Uso incorreto de bibliotecas que possam expor dados de forma não intencional.
Após a análise, forneça um relatório detalhado com:
- Quais são os possíveis problemas encontrados e o nível de risco associado.
- Sugestões de como corrigir ou mitigar esses riscos de segurança.
- Código a ser analisado:
// Cole o seu código Google Apps Script aqui
Forneça sua análise detalhada e recomendações de segurança.Limite as permissões
Conceda ao seu script apenas as permissões estritamente necessárias para sua funcionalidade. O Apps Script utiliza escopos de autorização para determinar os níveis de acesso.
Com a atualização recente da Google, o gerenciamento de permissões antes de um script ser efetivamente executado, ficou ainda mais preciso.
Então, tenha cautela antes de permitir todas as opções. Cheque se todas as permissões solicitadas são realmente necessárias.
Não exponha senhas ou chaves de API no código
Esse é um erro muito comum, inclusive da qual eu enfrento até os dias de hoje, mesmo já trabalhando com Apps Script há pelo menos 3 anos. Senhas, chaves de API ou tokens, devem ser armazenados com segurança, pois são informações extremamente sensíveis.
Você não vai querer expor sua chave de API em uma conversa externa, por exemplo. Ou mesmo ao solicitar auxílio em IAs como o ChatGPT.
Use o recurso de propriedades em Configurações do projeto > Propriedades do script.
Com isso, no lugar de definir uma chave de API diretamente no código, você pode usar algo como:
const propriedades = PropertiesService.getUserProperties();
const chaveApi = propriedades.getProperty('nome-da-propriedade');
Logger.log(chaveApi);O Logger nesse caso, retornaria o valor definido para a propriedade nome-da-propriedade.
Apps com permissões na sua conta Google
Uma ótima prática, é ter uma política própria de verificar regularmente aplicativos ou serviços que possuem alguma permissão na sua conta.
Basta acessar myaccount.google.com/connections e revogar conexões que você desconhece ou já não utiliza mais. Uma segunda prática útil para essa, é sempre definir bons nomes aos seus projetos no Apps Script, assim você saberá identificá-los rapidamente na página Connections da Google.
Conheça as boas práticas e a documentação do GAS
Siga as diretrizes recomendadas pela Google na hora de criar seus scripts para o GAS. Se está escrevendo um projeto do zero por conta própria, sempre se apoie na documentação oficial.
Cheque também as práticas recomendadas de desenvolvimento, para garantir que seus scripts sejam seguros e bem otimizados.
- Manual de boas práticas: developers.google.com/apps-script/guides/support/best-practices?hl=pt-br
- Documentação do Google Apps Script: developers.google.com/apps-script?hl=pt-br
Boa parte, se não a totalidade, já se encontra disponível em português brasileiro. Aproveite!
Se você também conta com apoio de IAs para criar novas funcionalidades ou automações, é interessante reforçar o seu prompt para receber códigos mais seguros e otimizados.
Espero que tenha gostado dessas dicas! Caso tenha alguma dúvida ou consideração sobre algum ponto, use a seção de comentários.
Participe também da Comunidados, nosso grupo 100% gratuito no WhatsApp.
