FixVibe
Covered by FixVibehigh

Supabase নিরাপত্তা চেকলিস্ট: RLS, API কী, এবং স্টোরেজ

এই গবেষণা নিবন্ধটি Supabase প্রকল্পগুলির জন্য গুরুত্বপূর্ণ নিরাপত্তা কনফিগারেশনের রূপরেখা দেয়। এটি ডাটাবেস সারি রক্ষার জন্য রো লেভেল সিকিউরিটি (RLS) এর যথাযথ বাস্তবায়ন, anon এবং service_role API কীগুলির সুরক্ষিত হ্যান্ডলিং এবং ডেটা এক্সপোজারের ঝুঁকি প্রশমিত করতে স্টোরেজ বাকেটগুলির অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগের উপর দৃষ্টি নিবদ্ধ করে।

CWE-284CWE-668

হুক

একটি Supabase প্রকল্প সুরক্ষিত করার জন্য API কী ব্যবস্থাপনা, ডাটাবেস নিরাপত্তা, এবং স্টোরেজ অনুমতিগুলিতে ফোকাস করে বহু-স্তরযুক্ত পদ্ধতির প্রয়োজন। [S1] অনুপযুক্তভাবে কনফিগার করা সারি স্তরের নিরাপত্তা (RLS) বা উন্মুক্ত সংবেদনশীল কীগুলি উল্লেখযোগ্য ডেটা এক্সপোজারের ঘটনা ঘটাতে পারে৷ [S2] [S3]

কি পরিবর্তন হয়েছে

এই গবেষণাটি অফিসিয়াল আর্কিটেকচার নির্দেশিকাগুলির উপর ভিত্তি করে Supabase পরিবেশের জন্য মূল নিরাপত্তা নিয়ন্ত্রণগুলিকে একীভূত করে৷ [S1] এটি ডিফল্ট ডেভেলপমেন্ট কনফিগারেশন থেকে প্রোডাকশন-কঠোর ভঙ্গিতে পরিবর্তনের উপর ফোকাস করে, বিশেষ করে অ্যাক্সেস কন্ট্রোল মেকানিজম সংক্রান্ত। [S2] [S3]

কারা আক্রান্ত

ব্যাকএন্ড-এ-সার্ভিস (BaaS) হিসাবে Supabase ব্যবহার করা অ্যাপ্লিকেশনগুলি প্রভাবিত হয়, বিশেষ করে যেগুলি ব্যবহারকারী-নির্দিষ্ট ডেটা বা ব্যক্তিগত সম্পদগুলি পরিচালনা করে৷ [S2] বিকাশকারীরা যারা ক্লায়েন্ট-সাইড বান্ডেলগুলিতে service_role কী অন্তর্ভুক্ত করে বা RLS সক্ষম করতে ব্যর্থ হয় তারা উচ্চ ঝুঁকিতে রয়েছে৷ [S1]

সমস্যাটি কীভাবে কাজ করে

Supabase ডেটা অ্যাক্সেস সীমিত করতে PostgreSQL এর সারি স্তরের নিরাপত্তার সুবিধা দেয়। [S2] ডিফল্টরূপে, যদি RLS একটি টেবিলে সক্ষম না থাকে, anon কী সহ যেকোন ব্যবহারকারী—যা প্রায়শই সর্বজনীন—সব রেকর্ড অ্যাক্সেস করতে পারে৷ [S1] একইভাবে, Supabase স্টোরেজের জন্য কোন ব্যবহারকারী বা ভূমিকা ফাইল বালতিতে ক্রিয়াকলাপ সম্পাদন করতে পারে তা নির্ধারণ করার জন্য সুস্পষ্ট নীতির প্রয়োজন৷ [S3]

একজন আক্রমণকারী কি পায়

একটি পাবলিক API কী ধারণ করা একজন আক্রমণকারী অন্য ব্যবহারকারীর ডেটা পড়তে, পরিবর্তন করতে বা মুছে ফেলার জন্য RLS অনুপস্থিত টেবিলগুলিকে কাজে লাগাতে পারে। [S1] [S2] স্টোরেজ বালতিতে অননুমোদিত অ্যাক্সেস ব্যক্তিগত ব্যবহারকারী ফাইলের প্রকাশ বা সমালোচনামূলক অ্যাপ্লিকেশন সম্পদ মুছে ফেলতে পারে। [S3]

কিভাবে FixVibe এর জন্য পরীক্ষা করে

FixVibe এখন এটিকে তার Supabase চেকের অংশ হিসাবে কভার করে৷ baas.supabase-security-checklist-backfill পাবলিক Supabase স্টোরেজ বালতি মেটাডেটা, বেনামী অবজেক্ট-লিস্টিং এক্সপোজার, সংবেদনশীল বালতি নামকরণ, এবং পাবলিক অ্যানন বাউন্ডারি থেকে অ্যান-বাউন্ড স্টোরেজ সংকেত পর্যালোচনা করে। সম্পর্কিত লাইভ চেক পরিষেবা-ভূমিকা কী এক্সপোজার, Supabase REST/RLS ভঙ্গি, এবং RLS অনুপস্থিত থাকার জন্য রিপোজিটরি SQL মাইগ্রেশন পরিদর্শন করে।

কি ঠিক করবেন

ডাটাবেস টেবিলে সর্বদা সারি স্তরের সুরক্ষা সক্ষম করুন এবং প্রমাণীকৃত ব্যবহারকারীদের জন্য দানাদার নীতিগুলি প্রয়োগ করুন৷ [S2] নিশ্চিত করুন যে ক্লায়েন্ট-সাইড কোডে শুধুমাত্র 'anon' কী ব্যবহার করা হয়েছে, যখন 'service_role' কী সার্ভারে থাকবে। [S1] ফাইল বালতি ডিফল্টরূপে ব্যক্তিগত এবং শুধুমাত্র সংজ্ঞায়িত নিরাপত্তা নীতির মাধ্যমে অ্যাক্সেস দেওয়া হয় তা নিশ্চিত করতে স্টোরেজ অ্যাক্সেস কন্ট্রোল কনফিগার করুন। [S3]