// docs / baas security
Seguridad de BaaS
Las plataformas Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — gestionan las partes de una aplicación que las herramientas de codificación con IA tocan con menos cuidado: seguridad a nivel de fila, reglas de almacenamiento, configuración del proveedor de identidad y qué claves se envían al navegador. Esta sección es una biblioteca enfocada de artículos sobre cómo se manifiestan esas configuraciones erróneas en producción y cómo encontrarlas y corregirlas. Cada artículo termina con un escaneo de un clic de tu propio despliegue.
// escáner de rls de supabase
Escáner de RLS de Supabase: detecta tablas con seguridad a nivel de fila ausente o rota
Qué puede probar un escaneo RLS pasivo desde fuera de la base de datos, las cuatro formas de RLS rota que las herramientas de codificación con IA generan por defecto, cómo funciona la verificación
baas.supabase-rlsde FixVibe y el SQL exacto que debes aplicar cuando se encuentra una política faltante.Escanea tu aplicación para detectar RLS faltante →
// exposición de la clave de rol de servicio
Clave de rol de servicio de Supabase expuesta en JavaScript
Qué es la clave de rol de servicio, por qué nunca debe vivir en el navegador y las tres formas en que las herramientas de codificación con IA la envían accidentalmente a producción. Incluye la forma del JWT que identifica una clave filtrada, un manual de respuesta inmediata y cómo lo detecta el escaneo de bundle de FixVibe.
Comprueba si tu bundle incluye secretos →
// endurecimiento de storage
Lista de comprobación de seguridad de buckets de Supabase Storage
Una lista de comprobación enfocada de 22 elementos para endurecer Supabase Storage — visibilidad de bucket, políticas RLS en la tabla
objects, validación de tipos MIME, manejo de URLs firmadas, medidas anti-enumeración e higiene operativa. Cada elemento se puede completar en 5-15 minutos.Escanea buckets públicos y storage listable de forma anónima →
// escáner de reglas de firebase
Escáner de reglas de Firebase: detecta reglas abiertas en Firestore, Realtime Database y Storage
Cómo funciona un escáner de reglas de Firebase desde fuera, los patrones de modo prueba que generan las herramientas de IA, los tres servicios de Firebase que cada uno necesita su propia auditoría de reglas (Firestore, Realtime Database, Storage) y qué puede probar un escaneo sin credenciales.
Comprueba si hay reglas abiertas de lectura/escritura →
// explicación de sintaxis de reglas
Firebase allow read, write: if true explicado
Qué hace realmente la regla
allow read, write: if true;, por qué Firebase la incluye como predeterminada del modo prueba, el comportamiento exacto que ve un atacante y las cuatro formas de reemplazarla por una regla segura para producción. Incluye una consulta de auditoría lista para copiar y un plan de remediación de cinco pasos.Escanea tu URL de producción →
// endurecimiento de clerk
Lista de comprobación de seguridad de Clerk
Una lista de comprobación de 20 elementos para endurecer una integración de Clerk — higiene de claves de entorno, ajustes de sesión, verificación de webhooks, permisos de organización, acotado de plantillas JWT y monitoreo operativo. Elementos previos al lanzamiento y continuos agrupados por área.
Comprueba las configuraciones erróneas de autenticación/sesión →
// endurecimiento de auth0
Lista de comprobación de seguridad de Auth0
Una auditoría de Auth0 de 22 elementos que cubre tipo de aplicación y grants, listas de URLs de callback/logout, rotación de tokens de refresh, seguridad de acciones personalizadas, RBAC y servidores de recursos, detección de anomalías y monitoreo de logs del tenant. Detecta los elementos que las aplicaciones SaaS generadas por IA consistentemente omiten.
Comprueba la exposición del proveedor de identidad →
// escáner paraguas
Escáner de configuraciones erróneas de BaaS: detecta rutas de datos públicas en Supabase, Firebase, Clerk y Auth0
Por qué los proveedores BaaS fallan en seguridad de la misma forma, las cinco clases de configuración errónea que toda aplicación con BaaS necesita auditar, cómo funciona el escaneo paraguas de BaaS de FixVibe en los cuatro proveedores, la comparativa lado a lado de lo que cada escáner puede probar y una comparación honesta con Burp, ZAP y herramientas SAST.
Encuentra rutas de datos públicas antes que los usuarios →
Qué viene después
Aquí aparecerán más artículos centrados en BaaS a medida que el motor de escaneo de FixVibe amplíe su cobertura. El registro de cambios del motor de escaneo documenta cada nueva detección — suscríbete para el registro continuo de lo que FixVibe puede demostrar ahora desde el exterior.