Paanga Kaieke
Ka taea e te kaiwhaiwhai te uru kore mana ki nga raraunga kaiwhakamahi tairongo, te whakarereke i nga rekoata papaaarangi, te hopu ranei i nga hanganga ma te whakamahi i nga tirohanga noa i roto i nga tukunga MVP. Kei roto i tenei ko te uru atu ki nga raraunga kairëti na te ngaro o nga mana uru [S4], te whakamahi ranei i nga taviri API kua patai ki te utu utu me te tango raraunga mai i nga ratonga whakauru [S2].
Take Putake
I te tere ki te whakarewa i tetahi MVP, ka warewarehia e nga kaiwhakawhanake—ina koa ko te hunga e whakamahi ana i te "whakawaehere vibe" a AI—ka warewarehia nga whirihoranga haumarutanga turanga. Ko nga taraiwa tuatahi o enei whakaraerae ko:
- Leakage ngaro: Ko nga tohu tohu, penei i nga aho raraunga, i nga taviri kaiwhakarato AI ranei, kua uru ohorere ki te mana putanga [S2].
- Mana Uru Kua pakaru: Karekau nga tono ki te uruhi i nga rohe whakamana tino, ka taea e nga kaiwhakamahi te uru atu ki nga rauemi a etahi atu [S4].
- Nga Kaupapahere Raraunga Raraunga Whakaae: I roto i nga tatūnga BaaS hou (Whakamuri-hei-Ratonga) penei i te Supabase, kaore e taea te whirihora tika i te Haumaru Taumata Haupae (ZXCVFIXVIBETOKEN2ZX ma te taha ki te taha ki te taha o te kiritaki e tuwhera ana ki te taha ki te taha o te paparangi raraunga) [S5].
- Te Whakahaere Tohu He ngoikore: Ko te whakahaere hee i nga tohu motuhēhēnga ka arai ki te kahaki i te huihuinga, ki te uru ranei a API ki te [S3].
Whakatika Raima
Whakatinana Haumaru Taumata Haupae (RLS)
Mo nga tono e whakamahi ana i nga tuara-a-Postgres penei i te Supabase, me whakahohea a RLS ki ia ripanga. Ko te RLS ka whakarite ko te miihini patengi raraunga ake e whakamana ana i nga here uru, hei aukati i te kaiwhakamahi ki te uiui i nga raraunga a tetahi atu kaiwhakamahi ahakoa he tohu motuhēhēnga whaimana [S5].
Aunoa te Matawai Ngaro
Whakauruhia te matawai ngaro ki roto i te rerenga mahi whanaketanga kia kitea me te aukati i te pana o nga tohu tairongo penei i nga taviri API, tiwhikete ranei [S2]. Mena ka patai tetahi mea ngaro, me whakakorehia, ka huri tonu, na te mea ka kiia he [S2] kua taupatupatu.
Whakauhia nga Mahi Tohu Tino
Whaia nga paerewa ahumahi mo te haumarutanga tohu, tae atu ki te whakamahi i nga pihikete haumaru, HTTP-anake mo te whakahaere i nga huihuinga me te whakarite kei te herea nga tohu ki te kaituku mena ka taea ki te aukati i te whakamahi ano a nga kaiwhaiwhai [S3].
Hoatu nga Pane Haumarutanga Tukutuku Whanui
Me whakarite ka whakatinanahia e te tono nga tikanga haumaru paetukutuku, penei i te Kaupapahere Haumarutanga Ihirangi (CSP) me nga tikanga kawe waka, hei whakaiti i nga whakaeke a-rorohiko noa [S1].
Me pehea te whakamatautau a FixVibe
Ko te FixVibe kua hipokina tenei karaehe turuturu-raraunga puta noa i nga papa matawai ora maha:
- Supabase RLS te whakakitenga:
baas.supabase-rlstangohanga tūmatanui Supabase URL/ana-matua takirua mai i nga paihere take-taketake, ka tatau i nga ripanga kua kitea, ka mahia ano te panui ki te tepu kua kitea, ka mahia ano hoki. mehemea ka kitea nga raraunga ripanga. - Repo RLS āputa:
repo.supabase.missing-rlsarotake i whakamanahia GitHub rehitatanga SQL hekenga mo nga ripanga whanui ka hangaia me te koreALTER TABLE ... ENABLE ROW LEVEL SECURITYhekenga. - Supabase te tuunga rokiroki: Ka arotakehia e
baas.supabase-security-checklist-backfillnga metadata peere Rokiroki a-iwi me te whakaaturanga raarangi ingoamu me te kore e tuku, e whakarereke i nga raraunga kaihoko. - Nga mea ngaro me te ahua o te kaitirotiro:
secrets.js-bundle-sweep,headers.security-headers, me te hakiheaders.cookie-attributeskua patai nga tohu taha kiritaki, kua ngaro nga pane whakapakeke o te tirotiro, me nga haki-pihikete ngoikore. - Nga tirotiro-whakahaere kuaha kuaha: i te wa e taea ai e te kaihoko te tirotiro kaha me te manatoko mana rohe, ka kitea e te
active.idor-walkingme teactive.tenant-isolationte whakamatautau i nga huarahi mo te IDOR/BOLA-style cross-source and cross-rente data exposure.