FixVibe
Covered by FixVibehigh

Supabase Lîsteya Kontrola Ewlekariyê: RLS, API Bişkojk û hilanîn

Vê gotara lêkolînê ji bo projeyên Supabase mîhengên ewlehiyê yên krîtîk destnîşan dike. Ew balê dikişîne ser pêkanîna rast a Ewlekariya Asta Rêzê (RLS) da ku rêzên databasê biparêze, bikêrhatina anon û servîsa_role API, û bicîhkirina kontrolkirina gihîştinê ji bo kepçeyên hilanînê ji bo kêmkirina metirsiyên gihandina daneyan û neguhêzbar.

CWE-284CWE-668

Çêlik

Ewlekirina projeyek Supabase nêzîkatiyek pir-qatî hewce dike ku balê dikişîne ser rêveberiya mifteya API, ewlehiya databasê, û destûrên hilanînê. [S1] Ewlekariya Asta Rêzê ya nerast hatî mîheng kirin (RLS) an bişkojkên hesas ên eşkerekirî dikarin bibin sedema bûyerên girîng danasîna daneyan. [S2] [S3]

Çi guherî

Ev lêkolîn ji bo jîngehên Supabase li ser bingeha rêwerzên mîmariya fermî ve kontrolên ewlehiyê yên bingehîn yek dike. [S1] Ew balê dikişîne ser derbasbûna ji mîhengên pêşkeftina xwerû berbi pozîsyonên hişk-hilberînê, bi taybetî di derbarê mekanîzmayên kontrolkirina gihîştinê de. [S2] [S3]

Kî bandor dibe

Serlêdanên ku Supabase wekî Karûbarek Paşvekirî (BaaS) bikar tînin bandor dibin, nemaze yên ku daneyên taybetî yên bikarhêner an hebûnên taybet digirin dest. [S2] Pêşdebirên ku mifteya service_role di pakêtên milê xerîdar de vedihewînin an jî nekarin RLS çalak bikin di xetereya mezin de ne. [S1]

Pirsgirêk çawa dixebite

Supabase Ewlekariya Asta Rêzê ya PostgreSQL bikar tîne da ku gihîştina daneyê sînordar bike. [S2] Ji hêla xwerû ve, heke RLS li ser maseyê neyê çalak kirin, her bikarhênerek bi mifteya anon-ku pir caran gelemperî ye- dikare bigihîje hemî tomaran. [S1] Bi heman awayî, hilanînê Supabase polîtîkayên eşkere hewce dike ku diyar bike ka kîjan bikarhêner an rol dikarin li ser kepçeyên pelan operasyonan bikin. [S3]

Êrîşkarek çi distîne

Êrîşkerek xwedan mifteya giştî ya API dikare tabloyên ku RLS winda ne bi kar bîne da ku daneyên bikarhênerên din bixwîne, biguherîne an jêbibe. [S1] [S2] Gihîştina bêdestûr a li kepçeyên hilanînê dikare bibe sedema eşkerekirina pelên bikarhêner ên taybet an jêbirina hebûnên serîlêdanê yên krîtîk. [S3]

FixVibe çawa ji bo wê diceribîne

FixVibe naha vê yekê wekî beşek ji kontrolên xwe yên Supabase vedigire. baas.supabase-security-checklist-backfill Supabase metadata kepçeya hilanînê ya baas.supabase-security-checklist-backfill, metadata kepçeya hilanînê, nîşankirina navnîşa tiştên nenas, navên kelê hesas, û sînyalên hilanînê yên ne-girêdayî yên ji sînorê giştî yê anonê dinirxîne. Kontrolên zindî yên têkildar danasîna key-rola karûbarê, pozîsyona Supabase REST/RLS, û veguheztina SQL ya depoyê ji bo RLS wenda teftîş dikin.

Çi rast bikin

Her gav Ewlekariya Asta Rêzê li ser tabloyên databasê çalak bikin û ji bo bikarhênerên pejirandî polîtîkayên hûrgulî bicîh bînin. [S2] Piştrast bike ku tenê mifteya 'anon' di koda xerîdar de tê bikar anîn, dema ku mifteya 'rola_xizmetê' li ser serverê dimîne. [S1] Kontrola Gihîştina Hilanînê Mîheng bike da ku pê ewle bibe ku kepçeyên pelan ji hêla xwerû ve taybet in û gihîştin tenê bi polîtîkayên ewlehiyê yên diyarkirî ve tê destûr kirin. [S3]