// docs / baas security
BaaS セキュリティ
Backend-as-a-Service プラットフォーム — Supabase、Firebase、Clerk、Auth0 — は、AI コーディングツールが最も雑に扱う部分、すなわち行レベルセキュリティ、ストレージルール、ID プロバイダ設定、ブラウザに送信されるキーを担当します。本セクションは、そうした設定ミスが本番でどのように現れるか、そしてそれらを発見し修正する方法に焦点を絞った記事ライブラリです。各記事は、あなた自身のデプロイ環境をワンクリックでスキャンする機能で締めくくられます。
// supabase rls スキャナ
Supabase RLS スキャナ: 行レベルセキュリティが欠落または破損したテーブルを検出
データベースの外側からパッシブな RLS スキャンで何を証明できるか、AI コーディングツールがデフォルトで生成する 4 つの破損 RLS パターン、FixVibe の
baas.supabase-rlsチェックの仕組み、そしてポリシー欠落が見つかった際に適用する具体的な SQL。アプリの RLS 欠落をスキャン →
// サービスロールキーの露出
JavaScript に露出した Supabase サービスロールキー
サービスロールキーとは何か、なぜそれが決してブラウザに置かれてはならないか、そして AI コーディングツールが本番にそれを誤って送り出す 3 つの経路。漏洩したキーを特定する JWT 形状、即時対応のランブック、そして FixVibe バンドルスキャンがそれを検出する仕組みを含みます。
バンドルにシークレットが含まれていないか確認 →
// ストレージ堅牢化
Supabase ストレージバケットセキュリティチェックリスト
Supabase Storage を堅牢化するための 22 項目の重点チェックリスト — バケット可視性、
objectsテーブルの RLS ポリシー、MIME タイプ検証、署名 URL の扱い、列挙対策、運用衛生。各項目は 5〜15 分で完了できる 1 項目です。公開バケットと匿名で列挙可能なストレージをスキャン →
// firebase ルールスキャナ
Firebase ルールスキャナ: 開いている Firestore、Realtime Database、Storage ルールを検出
Firebase ルールスキャナが外部からどう機能するか、AI ツールが生成するテストモードパターン、それぞれのルール監査が必要な 3 つの Firebase サービス (Firestore、Realtime Database、Storage)、そして資格情報なしでスキャンが何を証明できるか。
公開された read/write ルールをチェック →
// ルール構文の解説
Firebase の allow read, write: if true の解説
allow read, write: if true;ルールが実際に何をするか、なぜ Firebase がそれをテストモードのデフォルトとして提供するか、攻撃者が見る正確な挙動、そして本番安全なルールでそれを置き換える 4 つの方法。コピー&ペースト可能な監査クエリと 5 ステップの修復計画を含みます。本番 URL をスキャン →
// clerk 堅牢化
Clerk セキュリティチェックリスト
Clerk 統合の堅牢化のための 20 項目チェックリスト — 環境キーの衛生、セッション設定、Webhook 検証、組織権限、JWT テンプレートのスコープ、運用監視。エリアごとにグループ化されたローンチ前および継続項目。
認証 / セッション設定ミスをチェック →
// auth0 堅牢化
Auth0 セキュリティチェックリスト
アプリケーションタイプとグラント、コールバック / ログアウト URL の許可リスト、リフレッシュトークンローテーション、カスタムアクションセキュリティ、RBAC とリソースサーバー、異常検出、テナントログ監視を網羅する 22 項目の Auth0 監査。AI 生成 SaaS アプリが一貫して見落とす項目をキャッチします。
ID プロバイダの露出をチェック →
// アンブレラスキャナ
BaaS 設定ミススキャナ: Supabase、Firebase、Clerk、Auth0 横断で公開データパスを検出
BaaS プロバイダがなぜ同じ形で失敗するのか、BaaS バックエンドアプリが監査すべき 5 つの設定ミスクラス、アンブレラ FixVibe BaaS スキャンが 4 つのプロバイダ横断でどう動くか、各スキャナが何を証明できるかの並列比較、Burp、ZAP、SAST ツールとの誠実な比較。
ユーザーよりも先に公開データパスを見つける →
今後の予定
FixVibe スキャンエンジンのカバレッジが拡大するにつれ、より多くの BaaS 関連記事がここに追加されます。スキャンエンジン更新履歴には新しい検出機能がすべて記録されています — FixVibe が外部から証明できるようになった内容を追跡するために購読してください。