// docs / baas security
Diogelwch BaaS
Mae llwyfannau Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — yn ymdrin â'r union rannau o ap y mae offer codio AI yn cyffwrdd â hwy leiaf gofalus: diogelwch ar lefel rhes, rheolau storio, cyfluniad y darparwr hunaniaeth, a pha allweddi sy'n cael eu danfon i'r porwr. Llyfrgell erthyglau ffocws yw'r adran hon ar sut mae'r cam-gyfluniadau hyn yn edrych mewn cynhyrchu mewn gwirionedd a sut i'w canfod a'u trwsio. Mae pob erthygl yn gorffen gyda sgan un-clic o'th leoliad dy hun.
// sganiwr rls supabase
Sganiwr RLS Supabase: dod o hyd i dablau heb ddiogelwch ar lefel rhes neu gyda diogelwch toredig
Beth all sgan RLS goddefol ei brofi o'r tu allan i'r gronfa ddata, y pedair ffurf ar RLS toredig y mae offer codio AI yn eu cynhyrchu yn ddiofyn, sut mae gwiriad
baas.supabase-rlsFixVibe yn gweithio, a'r SQL union i'w gymhwyso unwaith y darganfyddir polisi sy'n ddiffygiol.Sganio dy ap am RLS sy'n ddiffygiol →
// datguddiad allwedd service role
Allwedd service role Supabase wedi'i datgelu yn JavaScript
Beth yw'r allwedd service role, pam na chaiff fyw yn y porwr byth, a'r tair ffordd y mae offer codio AI yn ei llongio'n ddamweiniol i gynhyrchu. Yn cynnwys siâp y JWT sy'n nodi allwedd sydd wedi'i gollwng, llawlyfr ymateb uniongyrchol, a sut mae sgan bwndel FixVibe yn ei dal.
Gwirio a yw cyfrinachau wedi llongio yn dy fwndel →
// caledu storio
Rhestr wirio diogelwch bwced storio Supabase
Rhestr wirio ffocws o 22-eitem ar gyfer caledu Storio Supabase — gwelededd bwcedi, polisïau RLS ar y tabl
objects, dilysu math MIME, trin URL llofnodedig, mesurau gwrth-rifo, a hylendid gweithredol. Mae pob eitem yn un eitem y gelli ei gorffen mewn 5-15 munud.Sganio bwcedi cyhoeddus a storio sy'n rhestradwy gan anon →
// sganiwr rheolau firebase
Sganiwr rheolau Firebase: dod o hyd i reolau Firestore, Realtime Database, a Storage agored
Sut mae sganiwr rheolau Firebase yn gweithio o'r tu allan, y patrymau modd-prawf y mae offer AI yn eu cynhyrchu, y tri gwasanaeth Firebase y mae angen i bob un gael eu harchwiliad rheolau ei hun (Firestore, Realtime Database, Storage), a beth all sgan ei brofi heb gymwysterau.
Gwirio am reolau darllen/ysgrifennu agored →
// esboniwr cystrawen rheolau
Firebase allow read, write: if true wedi'i esbonio
Beth mae'r rheol
allow read, write: if true;yn ei wneud mewn gwirionedd, pam mae Firebase yn ei llongio fel y diofyn modd-prawf, yr union ymddygiad y mae ymosodwr yn ei weld, a'r pedair ffordd o'i disodli â rheol sy'n ddiogel mewn cynhyrchu. Yn cynnwys ymholiad archwilio copïo-gludo a chynllun adfer pum-cam.Sganio dy URL cynhyrchu →
// caledu clerk
Rhestr wirio diogelwch Clerk
Rhestr wirio 20 eitem ar gyfer caledu integreiddiad Clerk — hylendid allwedd-amgylchedd, gosodiadau sesiwn, dilysu webhook, caniatâd sefydliad, cwmpasu templed JWT, a monitro gweithredol. Eitemau cyn-lansio a pharhaus wedi'u grwpio yn ôl ardal.
Gwirio cam-gyfluniadau auth/sesiwn →
// caledu auth0
Rhestr wirio diogelwch Auth0
Archwiliad Auth0 22 eitem sy'n cwmpasu math o gais a grantiau, rhestrau caniatáu URL callback / logout, cylchdroi tocyn aildaliad, diogelwch gweithred arferol, RBAC a gweinyddion adnoddau, canfod afrywioledd, a monitro logiau denantiad. Yn dal yr eitemau y mae apiau SaaS a gynhyrchwyd gan AI yn eu colli'n gyson.
Gwirio datguddiad darparwr hunaniaeth →
// sganiwr ymbarél
Sganiwr cam-gyfluniad BaaS: dod o hyd i lwybrau data cyhoeddus ar draws Supabase, Firebase, Clerk, ac Auth0
Pam mae darparwyr BaaS yn methu diogelwch yn yr un siâp, y pum dosbarth cam-gyfluniad y mae angen i bob ap a gefnogir gan BaaS eu harchwilio, sut mae sgan BaaS ymbarél FixVibe yn gweithio ar draws pob un o'r pedwar darparwr, y gymhariaeth ochr-yn-ochr o'r hyn y gall pob sganiwr ei brofi, a chymhariaeth onest ag offer Burp, ZAP, a SAST.
Canfod llwybrau data cyhoeddus cyn i ddefnyddwyr wneud →
Beth sy'n dod nesaf
Bydd mwy o erthyglau sy'n canolbwyntio ar BaaS yn glanio yma wrth i beiriant sganio FixVibe ehangu ei orchudd. Mae'r cofnod newidiadau peiriant sganio yn cofnodi pob canfyddiad newydd — tanysgrifia iddo ar gyfer y llyfr cyfrifon parhaol o'r hyn y gall FixVibe ei brofi o'r tu allan bellach.