FixVibe
Covered by FixVibehigh

Liosta sgrùdaidh tèarainteachd Supabase: RLS, API Keys, and Storage

Tha an artaigil rannsachaidh seo a’ toirt cunntas air rèiteachaidhean tèarainteachd èiginneach airson pròiseactan Supabase. Tha e ag amas air buileachadh ceart Row Level Security (RLS) gus sreathan stòr-dàta a dhìon, làimhseachadh tèarainte air iuchraichean anon agus service_role API, agus a’ cur an gnìomh smachd ruigsinneachd airson bucaidean stòraidh gus cunnartan bho nochdadh dàta agus ruigsinneachd gun chead a lughdachadh.

CWE-284CWE-668

An dubhan

Gus pròiseact Supabase a dhèanamh tèarainte feumaidh dòigh-obrach ioma-shreath le fòcas air prìomh stiùireadh API, tèarainteachd stòr-dàta, agus ceadan stòraidh. [S1] Faodaidh tèarainteachd ìre sreath a tha air a dhealbhadh gu neo-iomchaidh (RLS) no iuchraichean mothachail fosgailte leantainn gu tachartasan nochdaidh dàta cudromach. [S2] [S3]

Dè dh'atharraich

Tha an rannsachadh seo a’ daingneachadh prìomh smachdan tèarainteachd airson àrainneachdan Supabase stèidhichte air stiùiridhean oifigeil ailtireachd. [S1] Tha e a’ cuimseachadh air a’ ghluasad bho rèiteachaidhean leasachaidh bunaiteach gu postachd cruaidh cinneasachadh, gu sònraichte a thaobh uidheamachdan smachd ruigsinneachd. [S2] [S3]

Cò air a bheil buaidh

Thathas a’ toirt buaidh air tagraidhean a tha a’ cleachdadh Supabase mar Backend-as-a-Service (BaaS), gu sònraichte an fheadhainn a bhios a’ làimhseachadh dàta cleachdaiche-sònraichte no maoin phrìobhaideach. [S2] Tha luchd-leasachaidh a tha a’ toirt a-steach an iuchair service_role ann am pasganan taobh teachdaiche no nach eil comasach air RLS a chomasachadh ann an cunnart mòr. [S1]

Mar a tha a’ chùis ag obair

Bidh Supabase a’ cleachdadh Tèarainteachd Ìre Sreath PostgreSQL gus casg a chuir air ruigsinneachd dàta. [S2] Gu gnàthach, mura h-eil RLS air a chomasachadh air clàr, faodaidh neach-cleachdaidh sam bith leis an iuchair anon - a tha gu tric poblach - faighinn chun a h-uile clàr. [S1] San aon dòigh, tha Supabase Storage ag iarraidh poileasaidhean soilleir gus mìneachadh dè an luchd-cleachdaidh no na dreuchdan as urrainn gnìomhachd a dhèanamh air bucaidean faidhle. [S3]

Na gheibh neach-ionnsaigh

Faodaidh neach-ionnsaigh aig a bheil iuchair API poblach brath a ghabhail air clàran a tha a dhìth RLS gus dàta a bhuineas do luchd-cleachdaidh eile a leughadh, atharrachadh no a dhubhadh às. [S1] [S2] Faodaidh ruigsinneachd gun chead air bucaidean stòraidh leantainn gu foillseachadh faidhlichean cleachdaiche prìobhaideach no cuir às do mhaoin tagraidh èiginneach. [S3]

Mar a nì FixVibe deuchainn air a shon

Tha FixVibe a-nis a’ còmhdach seo mar phàirt de na sgrùdaidhean Supabase aige. Bidh baas.supabase-security-checklist-backfill a’ dèanamh lèirmheas air poblach Supabase meata-dàta bucaid stòraidh, foillseachadh liosta nithean gun urra, ainmeachadh bucaid mothachail, agus comharran stòraidh gun cheangal bhon phoball gun chrìoch. Bidh sgrùdaidhean beò co-cheangailte a’ sgrùdadh prìomh fhoillseachadh dreuchd seirbheis, postachd Supabase REST/RLS, agus imrich ath-reic SQL airson RLS a tha a dhìth.

Dè a cheartachadh

Dèan comas daonnan air Row Level Security air clàran stòr-dàta agus cuir an gnìomh poileasaidhean gràin airson luchd-cleachdaidh dearbhte. [S2] Dèan cinnteach nach tèid ach an iuchair ‘anon’ a chleachdadh ann an còd taobh an neach-dèiligidh, fhad ‘s a tha an iuchair ‘service_role’ fhathast air an fhrithealaiche. [S1] Dèan rèiteachadh air Smachd Ruigsinneachd Stòraidh gus dèanamh cinnteach gu bheil bucaidean faidhle prìobhaideach gu bunaiteach agus gu bheil ruigsinneachd air a thoirt seachad dìreach tro phoileasaidhean tèarainteachd comharraichte. [S3]