// docs / baas security
אבטחת BaaS
פלטפורמות Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — מטפלות בדיוק בחלקים של אפליקציה שכלי קוד מבוססי-AI נוגעים בהם בזהירות הפחותה ביותר: row-level security, חוקי אחסון, תצורת ספק זהויות, ואילו מפתחות נשלחים לדפדפן. הפרק הזה הוא ספריית מאמרים ממוקדת על איך התצורות השגויות האלה נראות בפועל בייצור וכיצד למצוא ולתקן אותן. כל מאמר מסתיים בסריקה בלחיצה אחת של ה-deployment שלך.
// סורק supabase rls
סורק Supabase RLS: מציאת טבלאות עם row-level security חסר או שבור
מה סריקת RLS פסיבית יכולה להוכיח מחוץ למסד הנתונים, ארבע הצורות של RLS שבור שכלי קוד מבוססי-AI מייצרים כברירת מחדל, איך בדיקת
baas.supabase-rlsשל FixVibe עובדת, וה-SQL המדויק שצריך להחיל ברגע שמתגלה מדיניות חסרה.סרוק את האפליקציה שלך אחר RLS חסר →
// חשיפת מפתח service role
מפתח Supabase service role חשוף ב-JavaScript
מה זה מפתח ה-service role, מדוע הוא לעולם לא חייב להיות בדפדפן, ושלוש הדרכים שבהן כלי קוד מבוססי-AI שולחים אותו בטעות לייצור. כולל את צורת ה-JWT שמזהה מפתח שדלף, runbook לתגובה מיידית, ואיך סריקת החבילה של FixVibe לוכדת זאת.
בדוק אם סודות הגיעו לחבילה שלך →
// קישוח אחסון
רשימת בדיקה לאבטחת דליי אחסון של Supabase
רשימת בדיקה ממוקדת של 22 פריטים לקישוח Supabase Storage — נראות דלי, מדיניויות RLS על טבלת
objects, אימות סוגי MIME, טיפול ב-URLs חתומים, אמצעים נגד מנייה, והיגיינה תפעולית. כל פריט הוא פריט שאפשר לסיים תוך 5-15 דקות.סרוק דליים ציבוריים ואחסון הניתן לרישום אנונימי →
// סורק חוקי firebase
סורק חוקי Firebase: מציאת חוקי Firestore, Realtime Database, ואחסון פתוחים
איך סורק חוקי Firebase עובד מבחוץ, דפוסי מצב-בדיקה שכלי AI מייצרים, שלושת שירותי Firebase שכל אחד זקוק לאודיט חוקים נפרד (Firestore, Realtime Database, אחסון), ומה שסריקה יכולה להוכיח ללא הרשאות.
בדוק חוקי קריאה/כתיבה פתוחים →
// הסבר תחביר חוקים
Firebase allow read, write: if true מוסבר
מה החוק
allow read, write: if true;בעצם עושה, מדוע Firebase שולח אותו כברירת מחדל של מצב-בדיקה, ההתנהגות המדויקת שתוקף רואה, וארבע דרכים להחליף אותו בחוק בטוח לייצור. כולל שאילתת audit להעתקה והדבקה ותוכנית תיקון של חמישה שלבים.סרוק את URL הייצור שלך →
// קישוח clerk
רשימת בדיקה לאבטחת Clerk
רשימת בדיקה של 20 פריטים לקישוח אינטגרציית Clerk — היגיינת מפתחות סביבה, הגדרות session, אימות webhook, הרשאות ארגון, צמצום תבניות JWT, וניטור תפעולי. פריטים לפני-השקה ושוטפים מקובצים לפי תחום.
בדוק תצורות שגויות של אימות/session →
// קישוח auth0
רשימת בדיקה לאבטחת Auth0
audit Auth0 של 22 פריטים המכסה סוג אפליקציה ו-grants, רשימות היתר של callback / logout URL, סבב refresh-token, אבטחת custom-action, RBAC ו-resource servers, זיהוי אנומליות, וניטור יומני דייר. תופס את הפריטים שאפליקציות SaaS שנוצרו על-ידי AI מפספסות בעקביות.
בדוק חשיפת ספק זהויות →
// סורק-על
סורק תצורות שגויות של BaaS: מציאת נתיבי נתונים ציבוריים על פני Supabase, Firebase, Clerk ו-Auth0
מדוע ספקי BaaS נכשלים באבטחה באותה צורה, חמש מחלקות תצורה שגויה שכל אפליקציה מבוססת-BaaS צריכה לבצע להן audit, איך סריקת ה-BaaS המקיפה של FixVibe עובדת על פני כל ארבעת הספקים, ההשוואה זה-לצד-זה של מה שכל סורק יכול להוכיח, והשוואה הוגנת ל-Burp, ZAP, וכלי SAST.
מצא נתיבי נתונים ציבוריים לפני שהמשתמשים יעשו זאת →
מה צפוי בהמשך
מאמרים נוספים ממוקדי-BaaS יגיעו לכאן ככל שמנוע הסריקה של FixVibe מרחיב את הכיסוי שלו. ה-changelog של מנוע הסריקה מתעד כל זיהוי חדש — הירשם אליו עבור היומן השוטף של מה ש-FixVibe יכול עכשיו להוכיח מבחוץ.