// docs / baas security
BaaS সুরক্ষা
Backend-as-a-Service প্ল্যাটফর্ম — Supabase, Firebase, Clerk, Auth0 — অ্যাপের সেই অংশগুলি পরিচালনা করে যেগুলিকে AI কোডিং টুলগুলি সবচেয়ে কম যত্ন সহকারে স্পর্শ করে: row-level security, storage rules, identity provider কনফিগারেশন, এবং কোন keys browser-এ পাঠানো হয়। এই বিভাগটি প্রোডাকশনে এই মিসকনফিগারেশনগুলি আসলে কেমন দেখায় এবং কীভাবে সেগুলি খুঁজে বের করে ঠিক করতে হয় সে বিষয়ে কেন্দ্রীভূত প্রবন্ধের একটি লাইব্রেরি। প্রতিটি প্রবন্ধ আপনার নিজস্ব deployment-এর এক-ক্লিক scan দিয়ে শেষ হয়।
// supabase rls scanner
Supabase RLS scanner: অনুপস্থিত বা ভাঙা row-level security সহ tables খুঁজুন
একটি passive RLS scan database-এর বাইরে থেকে কী প্রমাণ করতে পারে, AI কোডিং টুলগুলি default হিসাবে যে চারটি আকারের ভাঙা RLS তৈরি করে, FixVibe-এর
baas.supabase-rlscheck কীভাবে কাজ করে, এবং অনুপস্থিত policy পাওয়া গেলে প্রয়োগ করার সঠিক SQL।আপনার অ্যাপে অনুপস্থিত RLS-এর জন্য scan করুন →
// service role key exposure
JavaScript-এ Supabase service role key উন্মোচিত
Service role key কী, এটি কেন কখনোই browser-এ থাকা উচিত নয়, এবং AI কোডিং টুলগুলি কীভাবে দুর্ঘটনাক্রমে production-এ ship করে তার তিনটি উপায়। JWT shape যা একটি leaked key সনাক্ত করে, একটি তাৎক্ষণিক-প্রতিক্রিয়া runbook, এবং FixVibe bundle scan কীভাবে এটি ধরে তা অন্তর্ভুক্ত।
secrets আপনার bundle-এ ship হয়েছে কিনা check করুন →
// storage hardening
Supabase storage bucket security checklist
Supabase Storage hardening-এর জন্য একটি কেন্দ্রীভূত 22-আইটেম checklist — bucket visibility,
objectstable-এ RLS policies, MIME-type validation, signed-URL handling, anti-enumeration ব্যবস্থা, এবং operational hygiene। প্রতিটি আইটেম 5-15 মিনিটে শেষ করা যায়।Public buckets এবং anon-listable storage scan করুন →
// firebase rules scanner
Firebase rules scanner: খোলা Firestore, Realtime Database, এবং Storage rules খুঁজুন
একটি Firebase rules scanner বাইরে থেকে কীভাবে কাজ করে, AI টুলগুলি যে test-mode patterns তৈরি করে, তিনটি Firebase services যাদের প্রতিটিকে নিজস্ব rule audit প্রয়োজন (Firestore, Realtime Database, Storage), এবং credentials ছাড়া একটি scan কী প্রমাণ করতে পারে।
খোলা read/write rules check করুন →
// rule syntax explainer
Firebase allow read, write: if true ব্যাখ্যা
allow read, write: if true;rule আসলে কী করে, Firebase কেন এটিকে test-mode default হিসাবে ship করে, একজন আক্রমণকারী যে সঠিক behaviour দেখে, এবং এটিকে একটি production-safe rule দিয়ে প্রতিস্থাপন করার চারটি উপায়। একটি copy-paste audit query এবং একটি পাঁচ-পদক্ষেপ remediation plan অন্তর্ভুক্ত।আপনার production URL scan করুন →
// clerk hardening
Clerk security checklist
একটি Clerk integration hardening-এর জন্য একটি 20-আইটেম checklist — environment-key hygiene, session settings, webhook verification, organization permissions, JWT-template scoping, এবং operational monitoring। Pre-launch এবং চলমান আইটেমগুলি area দ্বারা গোষ্ঠীবদ্ধ।
auth/session misconfigurations check করুন →
// auth0 hardening
Auth0 security checklist
একটি 22-আইটেম Auth0 audit যা application type এবং grants, callback / logout URL allowlists, refresh-token rotation, custom-action security, RBAC এবং resource servers, anomaly detection, এবং tenant log monitoring cover করে। AI-generated SaaS অ্যাপগুলি যে আইটেমগুলি ধারাবাহিকভাবে miss করে সেগুলি ধরে।
identity-provider exposure check করুন →
// umbrella scanner
BaaS misconfiguration scanner: Supabase, Firebase, Clerk, এবং Auth0 জুড়ে public data paths খুঁজুন
BaaS providers কেন একই আকারে security-তে fail করে, প্রতিটি BaaS-সমর্থিত অ্যাপকে যে পাঁচটি misconfiguration classes audit করতে হবে, চারটি providers জুড়ে umbrella FixVibe BaaS scan কীভাবে কাজ করে, প্রতিটি scanner কী প্রমাণ করতে পারে তার side-by-side তুলনা, এবং Burp, ZAP, এবং SAST tools-এর সাথে একটি সৎ তুলনা।
users আগে public data paths খুঁজুন →
এর পরে কী আসছে
FixVibe scan engine তার কভারেজ বাড়ানোর সাথে সাথে আরও BaaS-কেন্দ্রিক প্রবন্ধ এখানে আসবে। scan-engine changelog প্রতিটি নতুন detection নথিভুক্ত করে — FixVibe এখন বাইরে থেকে কী প্রমাণ করতে পারে তার চলমান হিসাবের জন্য এতে subscribe করুন।