Lengo, muito obrigado por ajudar a fazer o hardening do TabNews! Eu recebi os alertas aqui do meu lado e acabei até enviando um email para você no momento que deu para vincular a conta 🤝

Sobre o novo scan, na minha opinião o destaque ficou sobre o que você encontrou no cache que fica dentro do _next. Possivelmente não podemos desabilitar o cache desses estáticos, pois eles são usados para a feature de "navegação instantânea" do Next.js ao usar o componente Link.

Mas mesmo assim, o destaque fica por conta de percebermos que qualquer coisa injetada nas props após um getStaticProps pode ficar guardada nesse estático. Então nunca podemos injetar nada de sensível, mesmo que isso supostamente só seja processado no backend pelo método getStaticProps. Nesse método você pode e deve lidar com informações sensíveis, mas nunca pode injetar isso no componente principal, pois novamente, irá ficar no cache do _next.

Sensacional e vamos ficar de olho 🤝