// docs / baas security
BaaS անվտանգություն
Backend-as-a-Service հարթակները — Supabase, Firebase, Clerk, Auth0 — սպասարկում են հավելվածի այն մասերը, որոնց AI-ի կոդավորման գործիքները ամենաանհոգ վերաբերմունքով են մոտենում․ row-level security, storage rules, identity provider կարգավորում, և թե որ բանալիներն են առաքվում զննարկիչին։ Այս բաժինը այդ սխալ կարգավորումների մասին կենտրոնացված հոդվածների գրադարան է — ինչպիսին են դրանք իրականում production-ում, և ինչպես գտնել ու շտկել։ Յուրաքանչյուր հոդված ավարտվում է քո սեփական deployment-ի մեկ-կտտոց սկանով։
// supabase rls scanner
Supabase RLS սկաներ․ գտիր table-ներ, որոնք չունեն կամ ունեն կոտրված row-level security
Ինչ կարող է ապացուցել պասիվ RLS սկանը տվյալների բազայից դուրս, կոտրված RLS-ի չորս ձևերը, որ AI-ի կոդավորման գործիքները լռելյայն գեներացնում են, ինչպես է աշխատում FixVibe-ի
baas.supabase-rlsստուգումը, և ճշգրիտ SQL-ը, որը պետք է կիրառել, երբ բացակայող policy է հայտնաբերվում։Սկանավորիր քո հավելվածը բացակայող RLS-ի համար →
// service role key exposure
Supabase service role key-ը բացահայտված JavaScript-ում
Ինչ է service role key-ը, ինչու պետք է երբեք չապրի զննարկիչում, և երեք եղանակները, որով AI-ի կոդավորման գործիքները պատահաբար առաքում են այն production-ի։ Ներառում է JWT ձևը, որ բացահայտում է արտահոսած բանալին, անհապաղ-արձագանքի runbook, և թե ինչպես է FixVibe-ի bundle scan-ը գտնում այն։
Ստուգիր, թե արդյոք գաղտնիքները հայտնվել են քո bundle-ում →
// storage hardening
Supabase storage bucket-ի անվտանգության ստուգաթերթ
Կենտրոնացած 22-կետանի ստուգաթերթ Supabase Storage-ը կարծրացնելու համար — bucket-ի տեսանելիություն, RLS policy-ներ
objectstable-ի վրա, MIME-տիպի վավերացում, signed-URL-ի կառավարում, հակա-թվարկման միջոցառումներ և գործառնական հիգիենա։ Յուրաքանչյուր կետ կարող ես ավարտել 5-15 րոպեում։Սկանավորիր հանրային bucket-ներ և anon-listable storage →
// firebase rules scanner
Firebase rules սկաներ․ գտիր բաց Firestore, Realtime Database և Storage rules
Ինչպես է աշխատում Firebase rules սկաները դրսից, թեստ-ռեժիմի նմուշները, որ AI գործիքները գեներացնում են, Firebase-ի երեք ծառայությունները, որ յուրաքանչյուրը պահանջում է իր կանոնի աուդիտը (Firestore, Realtime Database, Storage), և ինչ կարող է ապացուցել սկանն առանց հավատարմագրերի։
Ստուգիր բաց ընթերցման/գրառման կանոնների համար →
// rule syntax explainer
Firebase allow read, write: if true բացատրված
Ինչ է իրականում անում
allow read, write: if true;կանոնը, ինչու Firebase-ն այն առաքում է որպես թեստ-ռեժիմի լռելյայն, հարձակվողի տեսածը ճշգրիտ վարքը, և չորս եղանակները՝ դա production-անվտանգ կանոնով փոխարինելու։ Ներառում է պատճենահան-տեղադրման աուդիտի հարցում և հնգաքայլանի շտկման ծրագիր։Սկանավորիր քո production URL-ը →
// clerk hardening
Clerk-ի անվտանգության ստուգաթերթ
20-կետանի ստուգաթերթ Clerk-ի ինտեգրացիան կարծրացնելու համար — միջավայրի-բանալիների հիգիենա, սեսիայի կարգավորումներ, webhook-ի վավերացում, կազմակերպության թույլտվություններ, JWT-template-ի սահմանափակում, և գործառնական մոնիտորինգ։ Նախա-մեկնարկային և ընթացիկ կետեր՝ խմբավորված ըստ ոլորտի։
Ստուգիր auth/session-ի սխալ կարգավորումները →
// auth0 hardening
Auth0-ի անվտանգության ստուգաթերթ
22-կետանի Auth0 աուդիտ, որ ընդգրկում է հավելվածի տեսակն ու grant-ները, callback / logout URL allowlist-ները, refresh-token-ի պտտումը, custom-action-ի անվտանգությունը, RBAC-ն ու resource server-ները, անոմալիաների հայտնաբերումը, և tenant log-ների մոնիտորինգը։ Բռնում է կետերը, որ AI-գեներացված SaaS հավելվածները հետևողականորեն բաց են թողնում։
Ստուգիր ինքնության-մատակարարի բացահայտումը →
// umbrella scanner
BaaS սխալ կարգավորման սկաներ․ գտիր հանրային տվյալների ուղիներ Supabase-ում, Firebase-ում, Clerk-ում և Auth0-ում
Ինչու BaaS մատակարարները ձախողվում են անվտանգության մեջ նույն ձևով, յուրաքանչյուր BaaS-հենքով հավելվածի համար աուդիտի անհրաժեշտ սխալ կարգավորման հինգ դասերը, ինչպես է աշխատում umbrella FixVibe BaaS սկանը բոլոր չորս մատակարարների դեմ, յուրաքանչյուր սկաների կարողությունների կողք-կողքի համեմատությունը, և ազնիվ համեմատությունը Burp-ի, ZAP-ի և SAST գործիքների հետ։
Գտիր հանրային տվյալների ուղիները, քանի դեռ օգտատերերը չեն →
Ի՞նչ է գալիս հաջորդը
Ավելի շատ BaaS-ին կենտրոնացած հոդվածներ կհայտնվեն այստեղ, քանի որ FixVibe-ի սկան-էնջինը մեծացնում է իր ծածկույթը։ Սկան-էնջինի changelog-ը գրանցում է յուրաքանչյուր նոր հայտնաբերում — բաժանորդագրվիր դրան՝ FixVibe-ի կարողությունների ընթացիկ մատյանի համար։