// docs / baas security
Sicurezza BaaS
Le piattaforme Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — gestiscono proprio le parti di un'applicazione che gli strumenti di codifica IA trattano con meno attenzione: sicurezza a livello di riga, regole di storage, configurazione del provider di identità e quali chiavi vengono spedite al browser. Questa sezione è una libreria mirata di articoli su come quelle configurazioni errate appaiono realmente in produzione e come trovarle e correggerle. Ogni articolo termina con una scansione con un clic del tuo stesso deployment.
// scanner rls supabase
Scanner RLS Supabase: trova tabelle con sicurezza a livello di riga mancante o difettosa
Cosa può dimostrare una scansione RLS passiva da fuori del database, le quattro forme di RLS difettosa che gli strumenti di codifica IA generano per default, come funziona il check
baas.supabase-rlsdi FixVibe e l'SQL esatto da applicare quando viene trovata una policy mancante.Scansiona la tua app per RLS mancante →
// esposizione chiave service-role
Chiave di service-role Supabase esposta in JavaScript
Cos'è la chiave di service-role, perché non deve mai vivere nel browser e i tre modi in cui gli strumenti di codifica IA la spediscono accidentalmente in produzione. Include la forma del JWT che identifica una chiave trapelata, un runbook di risposta immediata e come la scansione del bundle FixVibe la rileva.
Controlla se segreti sono finiti nel tuo bundle →
// hardening dello storage
Checklist di sicurezza dei bucket Supabase Storage
Una checklist mirata di 22 elementi per fare hardening di Supabase Storage — visibilità del bucket, policy RLS sulla tabella
objects, validazione dei tipi MIME, gestione delle URL firmate, misure anti-enumerazione e igiene operativa. Ogni elemento è completabile in 5-15 minuti.Scansiona bucket pubblici e storage elencabile anonimamente →
// scanner di regole firebase
Scanner di regole Firebase: trova regole aperte in Firestore, Realtime Database e Storage
Come uno scanner di regole Firebase lavora dall'esterno, i pattern di test-mode che gli strumenti IA generano, i tre servizi Firebase che hanno ciascuno bisogno del proprio audit di regole (Firestore, Realtime Database, Storage) e cosa una scansione può dimostrare senza credenziali.
Controlla regole aperte di lettura/scrittura →
// spiegazione sintassi regole
Firebase allow read, write: if true spiegato
Cosa fa davvero la regola
allow read, write: if true;, perché Firebase la spedisce come default in test-mode, il comportamento esatto che vede un attaccante e i quattro modi per sostituirla con una regola production-safe. Include una query di audit pronta da incollare e un piano di rimedio in cinque passi.Scansiona la tua URL di produzione →
// hardening di clerk
Checklist di sicurezza Clerk
Una checklist di 20 elementi per fare hardening di un'integrazione Clerk — igiene delle chiavi d'ambiente, impostazioni di sessione, verifica dei webhook, permessi di organizzazione, limitazione dei template JWT e monitoraggio operativo. Elementi pre-lancio e continui raggruppati per area.
Controlla configurazioni errate di auth/sessione →
// hardening di auth0
Checklist di sicurezza Auth0
Un audit Auth0 di 22 elementi che copre tipo di applicazione e grant, allowlist di URL callback/logout, rotazione dei refresh token, sicurezza delle action personalizzate, RBAC e resource server, rilevazione di anomalie e monitoraggio dei log del tenant. Cattura gli elementi che le app SaaS generate da IA mancano costantemente.
Controlla l'esposizione del provider di identità →
// scanner ombrello
Scanner di configurazioni errate BaaS: trova percorsi di dati pubblici in Supabase, Firebase, Clerk e Auth0
Perché i provider BaaS falliscono in sicurezza nello stesso modo, le cinque classi di configurazione errata che ogni app supportata da BaaS deve auditare, come la scansione BaaS ombrello FixVibe funziona su tutti e quattro i provider, il confronto fianco a fianco di cosa ogni scanner può dimostrare e un confronto onesto con Burp, ZAP e strumenti SAST.
Trova percorsi di dati pubblici prima degli utenti →
Cosa arriva dopo
Altri articoli focalizzati su BaaS arrivano qui man mano che il motore di scansione FixVibe espande la sua copertura. Il changelog del motore di scansione registra ogni nuova rilevazione — iscriviti per il registro continuo di ciò che FixVibe può ora dimostrare dall'esterno.