FixVibe
Covered by FixVibehigh

Vibe-kodetutako aplikazioak ziurtatzea: isurketa sekretuak eta datuen esposizioa saihestea

AI-k lagundutako garapenak edo "vibe-coding"-ek maiz abiadura eta funtzionaltasuna lehenesten ditu segurtasun lehenetsien gainetik. Ikerketa honek garatzaileek gogor kodetutako kredentzialak eta datu-basearen sarbide-kontrol desegokiak bezalako arriskuak nola arin ditzakeen aztertzen du, eskaneaketa automatizatua eta plataformako segurtasun-eginbide espezifikoak erabiliz.

CWE-798CWE-284

Eragina

AI-k sortutako aplikazioak ez babestuz gero, azpiegitura sentikorren kredentzialak eta erabiltzailearen datu pribatuak ager daitezke. Sekretuak filtratzen badira, erasotzaileek hirugarrenen zerbitzuetarako edo barne-sistemetarako sarbide osoa lor dezakete [S1]. Datu-baserako sarbide-kontrol egokirik gabe, hala nola, errenkada-mailako segurtasuna (RLS), edozein erabiltzailek beste batzuen datuak kontsultatu, aldatu edo ezabatu ditzake [S5].

Arrazoia

AI kodetze-laguntzaileek inguruneko segurtasun-konfigurazio espezifikoak ez dituzten ereduetan oinarrituta sortzen dute [S3]. Horrek askotan bi arazo nagusi sortzen ditu:

  • Hardcoded Secrets: AI-k API gakoentzako edo datu-basearen URLentzako leku-markak iradoki ditzake garatzaileek [S1] bertsio-kontrolerako konpromisoa hartzen duten.
  • Sarbide-kontrolak falta dira: Supabase bezalako plataformetan, sarritan taulak errenkada-mailako segurtasuna (RLS) gaituta gabe sortzen dira lehenespenez, eta garatzaileen ekintza esplizitua behar da datu-geruza ziurtatzeko ZXCVFIXVIBETOKEN0ZXC.

Konponketa konkretuak

Gaitu bilaketa sekretua

Erabili tresna automatikoak zure biltegietara tokenak eta gako pribatuak bezalako informazio sentikorra detektatzeko eta saihesteko [S1]. Honen barruan sartzen da [S1] eredu sekretu ezagunak dituzten konpromisoak blokeatzeko push babesa konfiguratzea.

Ezarri errenkada-mailako segurtasuna (RLS)

Supabase edo PostgreSQL erabiltzean, ziurtatu RLS gaituta dagoela datu sentikorrak dituen taula guztietan [S5]. Horrek bermatzen du bezeroaren alboko gako bat arriskuan jartzen bada ere, datu-baseak sarbide-politikak ezartzen dituela erabiltzailearen identitatean oinarrituta [S5].

Kode eskaneatzea integratzea

Sartu kode-eskaneatze automatikoa zure CI/CD kanalizazioan ahultasun arruntak eta segurtasun-konfigurazio okerrak identifikatzeko [S2] iturburu-kodean. Copilot Autofix bezalako tresnek arazo hauek konpontzen lagun dezakete [S2] kode seguruen alternatibak proposatuz.

FixVibe probak nola egiten dituen

FixVibe-k zuzeneko egiaztapen ugariren bidez estaltzen du orain:

  • Biltegiaren azterketa: repo.supabase.missing-rls-k Supabase SQL migrazio-fitxategiak aztertzen ditu eta bat datorren ENABLE ROW LEVEL SECURITY [S5]-ren migraziorik gabe sortzen diren taula publikoak markatzen ditu.
  • Sekretu pasiboa eta BaaS egiaztapenak: FixVibe-k jatorri bereko JavaScript sortak aztertzen ditu filtratutako sekretuak eta Supabase konfigurazio-esposizioaren [S1].
  • Irakurtzeko soilik Supabase RLS baliozkotzea: baas.supabase-rls inplementatutako egiaztapenak Supabase REST esposizioa bezeroen datuak aldatu gabe. Atepeko zunda aktiboak baimendutako lan-fluxu bereizia izaten jarraitzen dute.