// docs / baas security
Seguretat de BaaS
Les plataformes Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — gestionen les parts d'una aplicació que les eines de codificació amb IA toquen amb menys cura: seguretat a nivell de fila, regles d'emmagatzematge, configuració del proveïdor d'identitat i quines claus s'envien al navegador. Aquesta secció és una biblioteca enfocada d'articles sobre com es manifesten aquestes configuracions errònies en producció i com trobar-les i corregir-les. Cada article acaba amb un escaneig d'un clic del teu propi desplegament.
// escàner de rls de supabase
Escàner de RLS de Supabase: detecta taules amb seguretat a nivell de fila absent o trencada
Què pot demostrar un escaneig RLS passiu des de fora de la base de dades, les quatre formes de RLS trencada que les eines de codificació amb IA generen per defecte, com funciona la comprovació
baas.supabase-rlsde FixVibe i el SQL exacte que cal aplicar quan es troba una política mancant.Escaneja la teva aplicació per detectar RLS mancant →
// exposició de la clau de rol de servei
Clau de rol de servei de Supabase exposada a JavaScript
Què és la clau de rol de servei, per què no ha de viure mai al navegador, i les tres maneres com les eines de codificació amb IA l'envien accidentalment a producció. Inclou la forma del JWT que identifica una clau filtrada, un manual de resposta immediata i com el detecta l'escaneig de bundle de FixVibe.
Comprova si el teu bundle inclou secrets →
// blindatge de l'emmagatzematge
Llista de comprovació de seguretat de contenidors de Supabase Storage
Una llista de comprovació enfocada de 22 punts per blindar Supabase Storage — visibilitat dels contenidors, polítiques RLS a la taula
objects, validació de tipus MIME, gestió d'URLs signades, mesures anti-enumeració i higiene operativa. Cada punt es pot completar en 5-15 minuts.Escaneja contenidors públics i emmagatzematge llistat anònimament →
// escàner de regles de firebase
Escàner de regles de Firebase: troba regles obertes a Firestore, Realtime Database i Storage
Com funciona un escàner de regles de Firebase des de fora, els patrons de mode test que generen les eines d'IA, els tres serveis de Firebase que cadascun necessita la seva pròpia auditoria de regles (Firestore, Realtime Database, Storage) i què pot demostrar un escaneig sense credencials.
Comprova si hi ha regles obertes de lectura/escriptura →
// explicació de la sintaxi de regles
Firebase allow read, write: if true explicat
Què fa realment la regla
allow read, write: if true;, per què Firebase la lliura com a valor per defecte en mode test, el comportament exacte que veu un atacant i les quatre maneres de substituir-la per una regla segura per a producció. Inclou una consulta d'auditoria per copiar i enganxar i un pla de remediació de cinc passos.Escaneja el teu URL de producció →
// blindatge de clerk
Llista de comprovació de seguretat de Clerk
Una llista de comprovació de 20 punts per blindar una integració de Clerk — higiene de claus d'entorn, configuració de sessions, verificació de webhooks, permisos d'organització, delimitació de plantilles JWT i monitoratge operatiu. Punts previs al llançament i continuats agrupats per àrea.
Comprova configuracions errònies d'autenticació/sessió →
// blindatge d'auth0
Llista de comprovació de seguretat d'Auth0
Una auditoria d'Auth0 de 22 punts que cobreix el tipus d'aplicació i grants, llistes d'autorització d'URLs de callback / logout, rotació de refresh tokens, seguretat d'accions personalitzades, RBAC i servidors de recursos, detecció d'anomalies i monitoratge de logs de tenant. Captura els punts que les aplicacions SaaS generades amb IA consistentment passen per alt.
Comprova l'exposició del proveïdor d'identitat →
// escàner global
Escàner de configuracions errònies de BaaS: troba rutes de dades públiques a Supabase, Firebase, Clerk i Auth0
Per què els proveïdors BaaS fallen la seguretat de la mateixa manera, les cinc classes de configuració errònia que cada aplicació recolzada en BaaS necessita auditar, com funciona l'escaneig global de BaaS de FixVibe entre els quatre proveïdors, la comparació directa del que cada escàner pot demostrar i una comparació honesta amb Burp, ZAP i eines SAST.
Troba rutes de dades públiques abans que ho facin els usuaris →
Què ve després
Aquí apareixeran més articles centrats en BaaS a mesura que el motor d'escaneig de FixVibe ampliï la seva cobertura. El registre de canvis del motor d'escaneig documenta cada nova detecció — subscriu-t'hi per al registre continu del que FixVibe pot demostrar ara des de l'exterior.