መንጠቆው
የSupabase ፕሮጄክትን ማስጠበቅ በAPI ቁልፍ አስተዳደር፣መረጃ ቋት ደህንነት እና የማከማቻ ፈቃዶች ላይ የሚያተኩር ባለብዙ ሽፋን አካሄድ ይጠይቃል። [S1] አግባብ ባልሆነ መልኩ የተዋቀሩ የረድፍ ደረጃ ደህንነት (RLS) ወይም የተጋለጡ ሚስጥራዊነት ያላቸው ቁልፎች ወደ ከፍተኛ የውሂብ ተጋላጭነት ክስተቶች ሊመሩ ይችላሉ። [S2] [S3]
ምን ተለወጠ
ይህ ጥናት ለSupabase አከባቢዎች ዋና የደህንነት መቆጣጠሪያዎችን በኦፊሴላዊው የስነ-ህንፃ መመሪያዎች ላይ ያጠናክራል። [S1] ከነባሪው የዕድገት ውቅሮች ወደ ምርት-ጠንካራ አቀማመጦች ሽግግር ላይ ያተኩራል፣ በተለይም የመዳረሻ መቆጣጠሪያ ዘዴዎችን በተመለከተ። [S2] [S3]
ማን ነው የተጎዳው።
Supabase እንደ Backend-as-A-አገልግሎት (BaaS) የሚጠቀሙ አፕሊኬሽኖች ተጎድተዋል፣በተለይ በተጠቃሚ-ተኮር ውሂብ ወይም የግል ንብረቶችን የሚያስተናግዱ። [S2] የservice_role ቁልፍን በደንበኛ ጎን ቅርቅቦች ውስጥ ያካተቱ ወይም RLSን ማንቃት ያልቻሉ ገንቢዎች ከፍተኛ አደጋ ላይ ናቸው። [S1]
ችግሩ እንዴት እንደሚሰራ
Supabase የውሂብ መዳረሻን ለመገደብ የ PostgreSQL የረድፍ ደረጃ ደህንነትን ይጠቀማል። [S2] በነባሪነት፣ RLS በጠረጴዛ ላይ ካልነቃ ማንኛውም ተጠቃሚ የanon ቁልፍ ያለው - ብዙ ጊዜ ይፋዊ - ሁሉንም መዝገቦች ማግኘት ይችላል። [S1] በተመሳሳይ፣ Supabase ማከማቻ የትኞቹ ተጠቃሚዎች ወይም ሚናዎች በፋይል ባልዲዎች ላይ ስራዎችን ማከናወን እንደሚችሉ ለመወሰን ግልጽ ፖሊሲዎችን ይፈልጋል። [S3]
አጥቂ የሚያገኘው
ይፋዊ የAPI ቁልፍ ያለው አጥቂ የሌሎች ተጠቃሚዎችን ውሂብ ለማንበብ፣ ለማሻሻል ወይም ለመሰረዝ RLS የጎደሉትን ሰንጠረዦች ሊጠቀም ይችላል። [S1] [S2] ያልተፈቀደ የማከማቻ ባልዲዎች መዳረሻ የግል ተጠቃሚ ፋይሎችን መጋለጥ ወይም ወሳኝ የሆኑ የመተግበሪያ ንብረቶችን መሰረዝን ሊያስከትል ይችላል። [S3]
FixVibe እንዴት እንደሚፈትሽ
FixVibe አሁን ይህንን እንደ Supabase ቼኮች አካል አድርጎ ይሸፍናል። baas.supabase-security-checklist-backfill የወል Supabase የማጠራቀሚያ ባልዲ ዲበዳታ፣ስም የለሽ የነገር ዝርዝር መጋለጥ፣ስሱ ባልዲ መሰየም እና ያልተገደበ የማከማቻ ምልክቶችን ከሕዝብ የተለየ ድንበር ይገመግማል። ተዛማጅ የቀጥታ ፍተሻዎች የአገልግሎት-ሚና ቁልፍ መጋለጥን፣ Supabase REST/RLS አቀማመጥ፣ እና የማከማቻ SQL ፍልሰት RLSን ይመረምራል።
ምን እንደሚስተካከል
ሁልጊዜ የረድፍ ደረጃ ደህንነትን በመረጃ ቋት ሰንጠረዦች ላይ አንቃ እና ለተረጋገጡ ተጠቃሚዎች ግልጽ ፖሊሲዎችን ተግባራዊ አድርግ። [S2] የ'አኖን' ቁልፍ ብቻ በደንበኛ ወገን ኮድ ውስጥ መጠቀሙን ያረጋግጡ፣ የ'አገልግሎት_ሮል' ቁልፍ በአገልጋዩ ላይ እንዳለ ይቆያል። [S1] የፋይል ባልዲዎች በነባሪነት ግላዊ መሆናቸውን ለማረጋገጥ የማከማቻ መዳረሻ መቆጣጠሪያን ያዋቅሩ እና መዳረሻው በተገለጹ የደህንነት ፖሊሲዎች ብቻ ነው። [S3]