FixVibe
Covered by FixVibehigh

Sikring af Vibe-kodede apps: Forebyggelse af hemmelig lækage og dataeksponering

AI-assisteret udvikling, eller 'vibe-coding', prioriterer ofte hastighed og funktionalitet over sikkerhedsstandarder. Denne forskning undersøger, hvordan udviklere kan mindske risici som hårdkodede legitimationsoplysninger og ukorrekte databaseadgangskontroller ved hjælp af automatiseret scanning og platformspecifikke sikkerhedsfunktioner.

CWE-798CWE-284

Indvirkning

Manglende sikring af AI-genererede applikationer kan føre til eksponering af følsomme infrastrukturoplysninger og private brugerdata. Hvis hemmeligheder lækkes, kan angribere få fuld adgang til tredjepartstjenester eller interne systemer [S1]. Uden korrekte databaseadgangskontroller, såsom Row Level Security (RLS), kan enhver bruger muligvis forespørge, ændre eller slette data, der tilhører andre [S5].

Grundårsag

AI-kodningsassistenter genererer kode baseret på mønstre, der muligvis ikke altid inkluderer miljøspecifikke sikkerhedskonfigurationer [S3]. Dette resulterer ofte i to primære problemer:

  • Hårdkodede hemmeligheder: AI kan foreslå pladsholderstrenge for API-nøgler eller database-URL'er, som udviklere utilsigtet forpligter til versionskontrol [S1].
  • Manglende adgangskontrol: I platforme som Supabase oprettes tabeller ofte uden Row Level Security (RLS) aktiveret som standard, hvilket kræver eksplicit udviklerhandling for at sikre datalaget [S5].

Konkrete rettelser

Aktiver hemmelig scanning

Brug automatiserede værktøjer til at opdage og forhindre push af følsomme oplysninger som tokens og private nøgler til dine lagre [S1]. Dette inkluderer opsætning af push-beskyttelse for at blokere commits, der indeholder kendte hemmelige mønstre [S1].

Implementer rækkeniveausikkerhed (RLS)

Når du bruger Supabase eller PostgreSQL, skal du sikre dig, at RLS er aktiveret for hver tabel, der indeholder følsomme data [S5]. Dette sikrer, at selvom en nøgle på klientsiden er kompromitteret, håndhæver databasen adgangspolitikker baseret på brugerens identitet [S5].

Integrer kodescanning

Inkorporer automatisk kodescanning i din CI/CD-pipeline for at identificere almindelige sårbarheder og sikkerhedsfejlkonfigurationer i din kildekode [S2]. Værktøjer som Copilot Autofix kan hjælpe med at afhjælpe disse problemer ved at foreslå sikre kodealternativer [S2].

Hvordan FixVibe tester for det

FixVibe dækker nu dette gennem flere live-tjek:

  • Repository-scanning: repo.supabase.missing-rls analyserer Supabase SQL-migreringsfiler og markerer offentlige tabeller, der er oprettet uden en matchende ENABLE ROW LEVEL SECURITY-migrering [S5].
  • Passiv hemmelighed og BaaS-tjek: FixVibe scanner JavaScript-bundter med samme oprindelse for lækkede hemmeligheder og Supabase-konfigurationseksponering [S1].
  • Skrivebeskyttet Supabase RLS-validering: baas.supabase-rls kontrollerer implementeret Supabase REST-eksponering uden at mutere kundedata. Aktive gatede prober forbliver en separat, samtykkestyret arbejdsgang.