השפעה
אי אבטחת יישומים שנוצרו על ידי AI עלול להוביל לחשיפה של אישורי תשתית רגישים ונתוני משתמשים פרטיים. אם סודות דולפים, התוקפים יכולים לקבל גישה מלאה לשירותי צד שלישי או למערכות פנימיות [S1]. ללא בקרות גישה נאותות למסד הנתונים, כגון אבטחת רמת שורה (RLS), כל משתמש עשוי להיות מסוגל לבצע שאילתות, לשנות או למחוק נתונים השייכים לאחרים [S5].
סיבת שורש
עוזרי קידוד AI מייצרים קוד המבוסס על דפוסים שלא תמיד כוללים תצורות אבטחה ספציפיות לסביבה [S3]. זה גורם לרוב לשתי בעיות עיקריות:
- סודות מקודדים: AI עשוי להציע מחרוזות מצייני מיקום עבור מפתחות API או כתובות אתרים של מסד נתונים שמפתחים מתחייבים בטעות לשליטה בגרסה [S1].
- בקרות גישה חסרות: בפלטפורמות כמו Supabase, טבלאות נוצרות לרוב ללא אבטחת רמת שורה (RLS) מופעלת כברירת מחדל, מה שמחייב פעולה מפורשת של מפתחים כדי לאבטח את שכבת הנתונים [S5].
תיקוני בטון
אפשר סריקה סודית
השתמש בכלים אוטומטיים כדי לזהות ולמנוע דחיפה של מידע רגיש כמו אסימונים ומפתחות פרטיים למאגרים שלך [S1]. זה כולל הגדרת הגנת דחיפה לחסימת התחייבויות המכילות דפוסים סודיים ידועים [S1].
יישם אבטחה ברמת השורה (RLS)
בעת שימוש ב-Supabase או PostgreSQL, ודא ש-RLS מופעל עבור כל טבלה המכילה נתונים רגישים [S5]. זה מבטיח שגם אם מפתח בצד הלקוח נפגע, מסד הנתונים אוכף מדיניות גישה המבוססת על זהות המשתמש [S5].
שלב סריקת קוד
שלב סריקת קוד אוטומטית בצינור ה-CI/CD שלך כדי לזהות פגיעויות נפוצות ותצורות אבטחה שגויות בקוד המקור שלך [S2]. כלים כמו Copilot Autofix יכולים לסייע בתיקון בעיות אלה על ידי הצעת חלופות קוד מאובטח [S2].
כיצד FixVibe בודק את זה
FixVibe מכסה זאת כעת באמצעות מספר בדיקות חיים:
- סריקת מאגר:
repo.supabase.missing-rlsמנתח Supabase קבצי הגירה של SQL ומסמן טבלאות ציבוריות שנוצרו ללא הגירה תואמתENABLE ROW LEVEL SECURITY[S5]. - סוד פסיבי ובדיקות BaaS: FixVibe סורק חבילות JavaScript מאותו מקור לאיתור סודות שדלפו וחשיפת תצורת Supabase [S1].
- אימות Supabase RLS לקריאה בלבד:
baas.supabase-rlsבודקת חשיפה של Supabase REST ללא שינוי בנתוני לקוחות. בדיקות מגודרות פעילות נשארות זרימת עבודה נפרדת עם גישה להסכמה.