// docs / baas security
Сигурност на BaaS
Платформите Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — управляват частите от приложението, които AI инструментите за кодиране докосват най-невнимателно: сигурност на ниво ред, правила за хранилище, конфигурация на доставчика на идентичност и кои ключове се изпращат към браузъра. Този раздел е фокусирана библиотека от статии за това как тези неправилни конфигурации изглеждат на практика в продукция и как да ги намерите и поправите. Всяка статия завършва със сканиране с едно кликване на вашия собствен deploy.
// сканер за supabase rls
Сканер за Supabase RLS: намерете таблици с липсваща или счупена сигурност на ниво ред
Какво може да докаже пасивното сканиране на RLS извън базата данни, четирите форми на счупен RLS, които AI инструментите за кодиране генерират по подразбиране, как работи проверката
baas.supabase-rlsна FixVibe и точният SQL за прилагане, когато бъде намерена липсваща политика.Сканирайте приложението си за липсващ RLS →
// разкриване на сервизен ключ
Сервизният ключ на Supabase, разкрит в JavaScript
Какво представлява сервизният ключ, защо никога не трябва да живее в браузъра и трите начина, по които AI инструментите за кодиране случайно го изпращат в продукция. Включва формата на JWT, която идентифицира изтекъл ключ, runbook за незабавна реакция и как сканирането на bundle на FixVibe го улавя.
Проверете дали тайни са попаднали в bundle-а ви →
// заздравяване на хранилище
Контролен списък за сигурност на storage bucket на Supabase
Фокусиран контролен списък от 22 точки за заздравяване на Supabase Storage — видимост на bucket-а, RLS политики на таблицата
objects, валидиране на MIME тип, обработка на signed URL, мерки против изброяване и оперативна хигиена. Всяка точка е една, която можете да завършите за 5-15 минути.Сканирайте публични bucket-и и anon-listable хранилища →
// сканер за firebase правила
Сканер за Firebase правила: намерете отворени правила за Firestore, Realtime Database и Storage
Как работи сканер за Firebase правила отвън, моделите test-mode, които AI инструментите генерират, трите Firebase услуги, които всяка нуждае от собствен одит на правилата (Firestore, Realtime Database, Storage), и какво може да докаже сканирането без credentials.
Проверете за отворени правила за четене/запис →
// обяснение на синтаксиса на правилото
Firebase allow read, write: if true обяснено
Какво всъщност прави правилото
allow read, write: if true;, защо Firebase го изпраща като test-mode по подразбиране, точното поведение, което нападател вижда, и четирите начина да го заместите с правило, безопасно за продукция. Включва copy-paste одитна заявка и петстъпков план за отстраняване.Сканирайте вашия production URL →
// заздравяване на clerk
Контролен списък за сигурност на Clerk
Контролен списък от 20 точки за заздравяване на интеграция с Clerk — хигиена на ключовете на средата, настройки за сесии, проверка на webhook, разрешения на организации, обхват на JWT темплейти и оперативен мониторинг. Pre-launch и текущи точки, групирани по област.
Проверете неправилни конфигурации на auth/session →
// заздравяване на auth0
Контролен списък за сигурност на Auth0
Одит на Auth0 от 22 точки, покриващ типа на приложението и grants, callback / logout URL allowlists, ротация на refresh-token, сигурност на custom-action, RBAC и resource servers, откриване на аномалии и мониторинг на tenant логове. Улавя точките, които AI-генерираните SaaS приложения последователно пропускат.
Проверете излагането на доставчик на идентичност →
// общ скенер
Скенер за неправилни конфигурации на BaaS: намерете публични пътеки за данни в Supabase, Firebase, Clerk и Auth0
Защо BaaS доставчиците се провалят в сигурността по една и съща форма, петте класа неправилни конфигурации, които всяко BaaS-базирано приложение трябва да одитира, как работи общото BaaS сканиране на FixVibe сред всички четири доставчици, сравнение рамо до рамо на това, какво може да докаже всеки скенер, и честно сравнение с Burp, ZAP и SAST инструменти.
Намерете публични пътеки за данни, преди потребителите да го направят →
Какво предстои
Тук се появяват още статии, фокусирани върху BaaS, с разширяването на покритието на машината за сканиране на FixVibe. Журналът на промените на машината за сканиране записва всяко ново откриване — абонирайте се за актуалния регистър на това, което FixVibe вече може да докаже отвън.