FixVibe
Covered by FixVibehigh

API Derketina Mifteyê: Rîsk û Çareserkirin Di Serlêdanên Webê yên Nûjen de

Veşartiyên hişk-kodkirî yên di koda pêşîn an dîroka depoyê de rê didin êrîşkeran ku xwe bişopînin karûbaran, xwe bigihînin daneyên taybet, û lêçûnên xwe derxînin. Ev gotar metirsiyên rijandina veşartî û gavên pêwîst ên ji bo paqijkirin û pêşîlêgirtinê vedihewîne.

CWE-798

Bandor

Veşartina razên mîna bişkokên API, nîşanek, an pêbaweriyan dikare bibe sedema gihîştina bêdestûr a daneyên hesas, nepeniya karûbar, û zirara darayî ya girîng ji ber binpêkirina çavkaniyê [S1]. Gava ku razek ji depoyek giştî re were peywirdar kirin an jî di serîlêdanek pêşîn de were berhev kirin, divê ew wekî [S1] were hesibandin.

Sedema bingehîn

Sedema bingehîn tevlêkirina pêbaweriyên hesas rasterast di koda çavkaniyê an pelên vesazkirinê de ye ku dûv re ji bo kontrolkirina guhertoyê ve girêdayî ne an ji xerîdar [S1] re têne pêşkêş kirin. Pêşdebir bi gelemperî ji bo rehetiyê di dema pêşkeftinê de bişkojkên hişk-kod an jî bi xeletî pelên .env di nav karên xwe de [S1] vedihewînin.

Serastkirinên Beton

  • Veşartiyên lihevkirî bizivirin: Ger razek were eşkere kirin, divê ew tavilê were betal kirin û were guheztin. Bi tenê derxistina razê ji guhertoya heyî ya kodê têrê nake ji ber ku ew di dîroka kontrolkirina guhertoyê de dimîne [S1][S2].
  • Guherbarên Jîngehê bikar bînin: Veşartinan di guherbarên jîngehê de hilînin ne ji kodkirina hişk. Piştrast bikin ku pelên .env li .gitignore hatine zêdekirin da ku pêşî li kiryarên bêserûber bigirin [S1].
  • Rêvebiriya Veşartî: Amûrên rêveberiya nehênî yên taybetî an karûbarên vault bikar bînin da ku pêbaweriyan li hawîrdora serîlêdanê di dema xebitandinê de [S1] derxînin.
  • Dîroka Depoyê Paqij bike: Ger razek ji Git re hatibe peywirdar kirin, amûrên mîna git-filter-repo an BFG Repo-Cleaner bikar bînin da ku daneyên hesas ji hemî şax û tagên dîroka depo [S2] bi domdarî jêbirin.

FixVibe çawa ji bo wê diceribîne

FixVibe naha vê yekê di şaneyên zindî de vedihewîne. secrets.js-bundle-sweep-ya pasîf pakêtên JavaScript-ê yên bi heman eslê dadixe û bi dergehên entropî û cîhgiran ên API-ya naskirî, nîşan û qalibên pêbaweriyê dide hev. Kontrolên zindî yên têkildar hilanîna gerokê, nexşeyên çavkanî, auth û pakêtên xerîdar ên BaaS, û qalibên çavkaniya repoya GitHub kontrol dikin. Ji nû ve nivîsandina dîroka Git pêngavek çareserkirinê dimîne; Ragihandina zindî ya FixVibe balê dikişîne ser nehêniyên ku di malên hatine şandin, hilanîna gerokê û naveroka repoya heyî de hene.