MODULO 4.5

🔍 Prompts de Code Quality e Auditoria

Transforme o Claude Code no seu auditor pessoal de codigo. Aprenda prompts especializados para seguranca, performance, code review e refactoring seguro. Cada prompt e uma ferramenta cirurgica para encontrar e corrigir problemas antes que cheguem a producao.

6
Topicos
40
Minutos
Avancado
Nivel
Teoria + Pratica
Tipo
1

🔬 Brutal Audit em Detalhe (Full Audit Prompt)

No modulo 4.1 voce conheceu o Brutal Audit como Daily Driver. Agora vamos dissecar o prompt completo, entender cada dimensao de auditoria e aprender a personalizar o audit para diferentes contextos. O full audit e o prompt mais poderoso para garantir qualidade de codigo antes de um merge ou deploy.

🎯 Conceito Principal

O Full Audit Prompt expande as 5 dimensoes originais para uma auditoria completa com output estruturado. Voce pede ao Claude para categorizar cada finding por severidade e fornecer fix sugerido:

I just built [feature/module]. Perform a brutal audit.

For each finding, provide:
- Severity: CRITICAL / HIGH / MEDIUM / LOW
- Category: security | performance | edge-case | crash | maintainability
- File and line number
- Description of the issue
- Suggested fix

Be brutally honest. I want zero surprises in production.
  • Output estruturado: A categorizacao por severidade permite priorizar. Resolva CRITICALs imediatamente, HIGHs antes do merge, MEDIUMs no proximo sprint
  • File e line number: O Claude aponta exatamente onde esta o problema. Voce pode ir direto ao ponto sem procurar
  • Suggested fix: Cada finding ja vem com sugestao de correcao. Voce pode pedir "fix all CRITICALs" e o Claude aplica as correcoes
  • Escopo focado: Audite um modulo por vez. Auditar o projeto inteiro gera output longo demais e perde foco

💡 Dica Pratica

Crie o habito de rodar o Full Audit antes de cada Pull Request. Inclua o output do audit como comentario no PR. Isso demonstra diligencia e economiza tempo do reviewer. Muitas equipes em 2026 ja adotam isso como parte do workflow padrao.

Dica avancada: adicione contexto do projeto ao audit. "This is a financial application handling real money" muda completamente o nivel de rigor que o Claude aplica na auditoria de seguranca.

2

🛡️ Security Audit (OWASP, Vulnerabilities)

O Security Audit e um prompt especializado que foca exclusivamente em vulnerabilidades de seguranca. Ele referencia o OWASP Top 10 e checa contra as vulnerabilidades mais comuns e perigosas. Ideal para aplicacoes que lidam com dados sensiveis, pagamentos ou autenticacao.

🎯 Conceito Principal

O prompt de Security Audit e especifico e direcionado. Voce lista as categorias de vulnerabilidade que quer checar:

Perform a security audit on [module/feature].

Check against OWASP Top 10:
- Injection (SQL, NoSQL, OS command)
- Broken authentication/session management
- Sensitive data exposure
- XSS (stored, reflected, DOM)
- Insecure deserialization
- CSRF vulnerabilities
- Missing rate limiting

For each finding, rate as CRITICAL/HIGH/MEDIUM/LOW
and provide the exact fix.
  • OWASP como framework: Usar o OWASP Top 10 como referencia da ao Claude um checklist claro e abrangente para seguir
  • Injection e o #1: O Claude checa todas as queries de banco, chamadas de sistema e qualquer ponto onde input do usuario chega sem sanitizacao
  • Rate limiting: Frequentemente esquecido, mas critico. Endpoints sem rate limiting sao convites para ataques de brute force e DDoS

💡 Dica Pratica

Rode o Security Audit separadamente do Brutal Audit geral. A auditoria de seguranca merece foco total. Quando voce mistura seguranca com performance e edge cases, os findings de seguranca tendem a se diluir.

Para apps financeiras ou de saude, adicione: "This handles PII/financial data. Apply maximum security scrutiny. Assume attacker has access to client-side code."

3

⚡ Performance Audit (N+1, Memory, Bundle)

Problemas de performance sao silenciosos. Tudo funciona perfeitamente com 10 usuarios e colapsa com 10.000. O Performance Audit prompt forca o Claude a pensar em escala e identificar gargalos antes que se tornem incendios em producao.

🎯 Conceito Principal

O Performance Audit cobre as categorias mais comuns de gargalos em aplicacoes modernas:

Perform a performance audit on [module/feature].

Check for:
1. N+1 query problems
2. Missing database indexes
3. Memory leaks (event listeners, closures, caches)
4. Unnecessary re-renders (React/Vue)
5. Bundle size issues (large imports)
6. Missing caching opportunities
7. Blocking operations on main thread

Estimate impact: how many ms/MB each fix would save.
  • N+1 queries: O problema mais comum em ORMs. O Claude identifica loops que fazem uma query por iteracao e sugere eager loading ou batch queries
  • Memory leaks: Event listeners nao removidos, closures que referenciam objetos grandes, caches sem limite. O Claude rastreia o ciclo de vida dos objetos
  • Bundle size: Importar a biblioteca inteira quando so precisa de uma funcao. O Claude sugere tree-shaking e imports seletivos
  • Estimativa de impacto: Pedir "estimate impact" forca o Claude a quantificar o ganho. Isso ajuda a priorizar quais otimizacoes valem o esforco

💡 Dica Pratica

Rode o Performance Audit depois de features que envolvem listas, tabelas ou dashboards. Essas sao as areas onde N+1 queries e re-renders desnecessarios causam mais estrago. Uma tabela com 100 linhas fazendo 100 queries extras pode transformar uma pagina de 200ms em 5 segundos.

Combine com dados reais: "This endpoint currently takes 800ms. Find what's causing the bottleneck and suggest optimizations to get it under 200ms."

4

📝 Code Review Prompt (PR-Level Review)

O Code Review prompt simula um reviewer senior examinando seu Pull Request. Ele olha nao so para bugs, mas para legibilidade, convencoes, naming, separacao de concerns e tudo que um bom reviewer checaria. Use antes de abrir o PR ou enquanto espera a review humana.

🎯 Conceito Principal

O prompt de Code Review e diferente do Brutal Audit. Enquanto o audit foca em bugs e seguranca, a review foca em qualidade, legibilidade e manutencao:

Review these changes as a senior engineer would review a PR.

Check for:
1. Code clarity and readability
2. Naming conventions consistency
3. Single responsibility violations
4. Missing error handling
5. Test coverage gaps
6. Documentation needs

Use the format: [file:line] comment (must-fix | suggestion | nit)
  • Tres niveis de feedback: must-fix (bloqueia o merge), suggestion (melhoria recomendada), nit (nitpick estetico). Isso espelha como reviews reais funcionam
  • Single responsibility: O Claude identifica funcoes que fazem coisas demais e sugere como extrair responsabilidades
  • Test coverage gaps: Ele identifica caminhos de codigo que nao tem testes e sugere quais testes escrever

💡 Dica Pratica

O melhor momento para rodar o Code Review e antes de abrir o PR. Corrija os must-fixes e considere as suggestions. Quando o reviewer humano olhar, o PR ja esta limpo e a review humana pode focar em decisoes de design e arquitetura, que e onde o valor humano realmente esta.

Adicione contexto do time: "Our team follows Airbnb style guide and uses domain-driven design. Review with these conventions in mind."

5

🛤️ Refactor Guardrails (Safe Refactoring)

Refactoring e uma das tarefas mais perigosas em desenvolvimento. Voce muda a estrutura sem mudar o comportamento, mas qualquer erro silencioso pode quebrar coisas em producao. O Refactor Guardrails prompt garante que o Claude faca refactoring seguro com verificacao embutida.

🎯 Conceito Principal

O prompt de Refactor Guardrails tem uma estrutura que previne regressoes durante o refactoring:

I want to refactor [describe what].

Before refactoring:
1. List all current behaviors that MUST be preserved
2. Identify all callers/consumers of this code
3. Note any implicit contracts or side effects

Then refactor with these guardrails:
- Zero behavior change (same inputs → same outputs)
- Run existing tests after each step
- Flag any test that needs updating and why
  • Comportamentos preservados: Antes de tocar em codigo, o Claude lista tudo que o codigo faz atualmente. Isso cria um "contrato" explicito
  • Callers/consumers: Quem usa esse codigo? Mudar a assinatura de uma funcao pode quebrar 20 outros arquivos se voce nao mapear as dependencias
  • Contratos implicitos: Side effects, ordem de execucao, state mutations. O Claude identifica comportamentos que nao estao na assinatura mas que outros codigos dependem
  • Testes a cada passo: Refactoring incremental com verificacao continua. Se um teste quebra, voce sabe exatamente qual mudanca causou

💡 Dica Pratica

Use Refactor Guardrails especialmente para legacy code e codigo sem testes. Nesse caso, adicione: "This code has no tests. Before refactoring, write characterization tests that capture current behavior. Then refactor." O Claude cria os testes primeiro e depois refatora com seguranca.

Nunca refatore e adicione feature ao mesmo tempo. Sao duas operacoes distintas. Primeiro refatore (sem mudar comportamento), depois adicione a feature no codigo ja limpo.

6

🔄 Quality Pipeline Completo

Agora que voce conhece cada tipo de audit individualmente, vamos montar o pipeline completo de qualidade. Este e o workflow que equipes profissionais usam com Claude Code em 2026 para garantir que todo codigo que chega a producao passou por multiplas camadas de verificacao.

🎯 Conceito Principal

O Quality Pipeline completo segue 5 etapas sequenciais. Cada etapa usa um prompt diferente e foca em uma dimensao especifica:

  • Etapa 1 - Code Review: Legibilidade, convencoes, estrutura. Corrija antes de auditar funcionalidade
  • Etapa 2 - Security Audit: OWASP Top 10, vulnerabilidades, exposicao de dados. Corrija todos os CRITICALs
  • Etapa 3 - Performance Audit: N+1, memory leaks, bundle size. Otimize os gargalos significativos
  • Etapa 4 - Brutal Audit geral: Edge cases, crash scenarios, tudo que os audits especificos nao pegaram
  • Etapa 5 - Final verification: "Verify that all CRITICAL and HIGH issues from previous audits have been resolved. List any remaining concerns."

Dica de eficiencia: Voce nao precisa rodar o pipeline inteiro em todo codigo. Para hotfixes, use so Security + Brutal Audit. Para features visuais, use Code Review + Performance. Reserve o pipeline completo para features criticas e releases.

💡 Dica Pratica

Documente os resultados do pipeline no seu CLAUDE.md. Adicione uma secao "Quality Standards" com os prompts que voce usa. Quando o Claude le isso no inicio de cada sessao, ele ja aplica os padroes automaticamente durante o desenvolvimento, reduzindo findings nos audits.

Em equipes, padronize o pipeline como parte do Definition of Done. Nenhum PR e aprovado sem pelo menos Security Audit + Code Review rodados com Claude Code.

Exercicio Pratico

Rodar Brutal Audit em codigo proprio e corrigir issues

Pegue um modulo real do seu projeto (ou use um projeto open source) e aplique o pipeline de qualidade:

  1. 1. Escolha um modulo ou feature recente do seu projeto. De preferencia algo com pelo menos 3 arquivos envolvidos
  2. 2. Rode o Full Brutal Audit com output estruturado (severity + category + file/line + fix)
  3. 3. Corrija todos os findings CRITICAL e pelo menos 2 findings HIGH
  4. 4. Rode o Security Audit separadamente e compare os findings com o Brutal Audit
  5. 5. Rode a verificacao final para confirmar que os CRITICALs foram resolvidos

Criterios de Sucesso

Rodou Full Brutal Audit com output estruturado
Corrigiu todos os findings CRITICAL
Rodou Security Audit separado com OWASP
Verificacao final confirmou resolucao dos CRITICALs
Entendeu a diferenca entre cada tipo de audit

📋 Resumo do Modulo

Full Brutal Audit com output estruturado - Severity + category + file/line + fix sugerido. Priorizacao clara de issues.
Security Audit com OWASP Top 10 - Injection, XSS, CSRF, auth, data exposure. Auditoria focada em vulnerabilidades.
Performance Audit identifica gargalos - N+1, memory leaks, bundle size, missing caching. Estimativa de impacto.
Code Review simula reviewer senior - Legibilidade, convencoes, SRP, test gaps. Tres niveis: must-fix, suggestion, nit.
Refactor Guardrails previne regressoes - Lista comportamentos, mapeia callers, zero behavior change, testes a cada passo.
Quality Pipeline combina tudo em workflow - Review → Security → Performance → Brutal → Verification. Adapte ao tipo de mudanca.

Proximo Modulo:

4.6 - Prompts de Arquitetura e API Design

← Modulo Anterior Voltar para Trilha Proximo Modulo →