// docs / baas security
Bezpečnost BaaS
Platformy Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — obsluhují ty části aplikace, kterých se nástroje pro kódování s AI dotýkají s nejmenší pečlivostí: zabezpečení na úrovni řádků, pravidla úložiště, konfigurace poskytovatele identity a to, které klíče se dostanou do prohlížeče. Tato sekce je zaměřená knihovna článků o tom, jak tyto chybné konfigurace skutečně vypadají v produkci a jak je najít a opravit. Každý článek končí skenováním vašeho vlastního nasazení jedním kliknutím.
// skener supabase rls
Skener Supabase RLS: najděte tabulky s chybějícím nebo nefunkčním zabezpečením na úrovni řádků
Co pasivní sken RLS dokáže prokázat zvenčí databáze, čtyři podoby rozbitého RLS, které nástroje pro kódování s AI generují ve výchozím nastavení, jak funguje kontrola FixVibe
baas.supabase-rlsa přesný SQL k aplikaci, jakmile se najde chybějící politika.Naskenujte aplikaci ohledně chybějícího RLS →
// vystavení klíče servisní role
Servisní klíč Supabase vystavený v JavaScriptu
Co je servisní klíč, proč nikdy nesmí žít v prohlížeči a tři způsoby, jak ho nástroje pro kódování s AI omylem odešlou do produkce. Obsahuje tvar JWT, který identifikuje uniklý klíč, runbook okamžité reakce a jak ho zachytí FixVibe sken balíčku.
Zkontrolujte, zda v balíčku unikla tajemství →
// zpevnění úložiště
Kontrolní seznam zabezpečení úložného koše Supabase
Zaměřený 22bodový kontrolní seznam pro zpevnění Supabase Storage — viditelnost koše, politiky RLS na tabulce
objects, validace MIME typu, zpracování podepsaných URL, anti-enumeračních opatření a operační hygiena. Každou položku dokončíte za 5-15 minut.Naskenujte veřejné koše a anonymně vypsatelné úložiště →
// skener firebase pravidel
Skener pravidel Firebase: najděte otevřená pravidla Firestore, Realtime Database a Storage
Jak funguje skener pravidel Firebase zvenčí, vzory test-mode, které AI nástroje generují, tři služby Firebase, z nichž každá potřebuje vlastní audit pravidel (Firestore, Realtime Database, Storage), a co může sken prokázat bez přihlašovacích údajů.
Zkontrolujte otevřená pravidla čtení/zápisu →
// vysvětlení syntaxe pravidel
Firebase allow read, write: if true vysvětleno
Co pravidlo
allow read, write: if true;ve skutečnosti dělá, proč ho Firebase dodává jako výchozí test-mode, přesné chování, které útočník vidí, a čtyři způsoby, jak ho nahradit pravidlem bezpečným pro produkci. Obsahuje auditní dotaz ke kopírování a vkládání a pětikrokový plán nápravy.Naskenujte vaši produkční URL →
// zpevnění clerk
Kontrolní seznam zabezpečení Clerk
20bodový kontrolní seznam pro zpevnění integrace Clerk — hygiena klíčů prostředí, nastavení relací, ověření webhooku, oprávnění organizace, omezení JWT šablon a operační monitoring. Položky před spuštěním a průběžné, seskupené podle oblasti.
Zkontrolujte chybné konfigurace autentizace/relací →
// zpevnění auth0
Kontrolní seznam zabezpečení Auth0
22bodový audit Auth0 pokrývající typ aplikace a granty, allowlisty callback / logout URL, rotaci refresh tokenu, zabezpečení custom-action, RBAC a resource servery, detekci anomálií a monitoring logů tenantu. Zachycuje položky, které AI generované SaaS aplikace konzistentně vynechávají.
Zkontrolujte vystavení poskytovatele identity →
// zastřešující skener
Skener chybných konfigurací BaaS: najděte veřejné datové cesty napříč Supabase, Firebase, Clerk a Auth0
Proč poskytovatelé BaaS selhávají v zabezpečení ve stejném tvaru, pět tříd chybných konfigurací, které každá aplikace postavená na BaaS potřebuje auditovat, jak funguje zastřešující FixVibe BaaS sken napříč všemi čtyřmi poskytovateli, srovnání bok po boku toho, co dokáže každý skener prokázat, a upřímné srovnání s Burp, ZAP a SAST nástroji.
Najděte veřejné datové cesty dříve než uživatelé →
Co se chystá
S rostoucím pokrytím skenovacího jádra FixVibe sem přibývají další články zaměřené na BaaS. Changelog skenovacího jádra zaznamenává každou novou detekci — odebírejte jej pro průběžný rejstřík toho, co FixVibe nyní dokáže prokázat zvenčí.