FixVibe
Covered by FixVibehigh

Vibe-кодтой програмуудыг хамгаалах: Нууц алдагдлаас болон өгөгдөлд өртөхөөс урьдчилан сэргийлэх

AI-ийн тусламжтай хөгжүүлэлт буюу 'vibe-coding' нь аюулгүй байдлын өгөгдмөлөөс илүү хурд болон үйл ажиллагааг голчлон үздэг. Энэхүү судалгаа нь хөгжүүлэгчид автоматжуулсан сканнер болон платформд хамаарах аюулгүй байдлын функцуудыг ашиглан хатуу кодлогдсон итгэмжлэл, мэдээллийн санд буруу нэвтрэх хяналт зэрэг эрсдлийг хэрхэн бууруулах талаар судлах болно.

CWE-798CWE-284

Нөлөөлөл

AI-ээр үүсгэсэн аппликешнүүдийн аюулгүй байдлыг хангахгүй байх нь эмзэг дэд бүтцийн итгэмжлэлүүд болон хувийн хэрэглэгчийн мэдээлэлд өртөхөд хүргэдэг. Хэрэв нууц задарсан бол халдагчид гуравдагч талын үйлчилгээ эсвэл [S1] дотоод системд бүрэн нэвтрэх боломжтой болно. Мөрийн түвшний хамгаалалт (RLS) гэх мэт мэдээллийн санд нэвтрэх зохих хяналтгүй бол ямар ч хэрэглэгч бусдын [S5]-д хамаарах өгөгдлийг асуух, өөрчлөх, устгах боломжтой.

Үндсэн шалтгаан

AI кодчилолын туслахууд нь [S3] байгаль орчны аюулгүй байдлын тохиргоог үргэлж оруулахгүй байж болох загварт үндэслэн код үүсгэдэг. Энэ нь ихэвчлэн хоёр үндсэн асуудалд хүргэдэг:

  • Хатуу кодлогдсон нууц: AI нь хөгжүүлэгчид [S1] хувилбарын хяналтыг санамсаргүйгээр хийдэг API түлхүүр эсвэл мэдээллийн сангийн URL-д зориулсан орлуулагч мөрүүдийг санал болгож болзошгүй.
  • Хандалтын хяналт дутуу: Supabase зэрэг платформуудад хүснэгтүүд нь ихэвчлэн мөрийн түвшний хамгаалалт (RLS)-ийг өгөгдмөлөөр идэвхжүүлэлгүйгээр үүсгэгддэг бөгөөд ZXCVFIXVIBETOKEN0ZXV өгөгдлийн давхаргыг хамгаалахын тулд хөгжүүлэгчийн тодорхой үйлдэл шаарддаг.

Бетон засвар

Нууц скан хийхийг идэвхжүүлнэ

[S1] репозитор руугаа токен, хувийн түлхүүр гэх мэт эмзэг мэдээллийг илрүүлэх, урьдчилан сэргийлэх автомат хэрэгслийг ашиглана уу. Үүнд [S1] мэдэгдэж буй нууц хэв маягийг агуулсан үйлдлийг блоклох түлхэх хамгаалалтыг тохируулах орно.

Мөрийн түвшний хамгаалалтыг хэрэгжүүлэх (RLS)

Supabase эсвэл PostgreSQL ашиглахдаа [S5] эмзэг өгөгдөл агуулсан хүснэгт бүрт RLS идэвхжсэн эсэхийг шалгаарай. Энэ нь үйлчлүүлэгчийн түлхүүр алдагдсан ч гэсэн мэдээллийн сан нь [S5] хэрэглэгчийн таниулбарт суурилсан хандалтын бодлогыг хэрэгжүүлдэг.

Код сканнерыг нэгтгэх

[S2] эх кодын нийтлэг эмзэг байдал болон аюулгүй байдлын буруу тохиргоог илрүүлэхийн тулд автомат код сканнерыг өөрийн CI/CD дамжуулах хоолойд оруулаарай. Copilot Autofix зэрэг хэрэгслүүд нь [S2] аюулгүй кодын хувилбаруудыг санал болгосноор эдгээр асуудлыг шийдвэрлэхэд тусална.

FixVibe үүнийг хэрхэн туршиж үздэг

FixVibe одоо үүнийг олон тооны шууд шалгалтаар хамардаг:

  • Repository scanning: repo.supabase.missing-rls нь Supabase SQL шилжилтийн файлд дүн шинжилгээ хийж, ENABLE ROW LEVEL SECURITY шилжих ZXCVFIXVIBETOKEN2 тохирохгүйгээр үүсгэсэн нийтийн хүснэгтүүдийг тэмдэглэдэг.
  • Идэвхгүй нууц болон BaaS шалгах: FixVibe нь задруулсан нууц болон Supabase тохиргооны өртөлтийг Supabase нь ижил гарал үүсэлтэй JavaScript-н багцуудыг шалгадаг.
  • Зөвхөн уншигдах боломжтой Supabase RLS баталгаажуулалт: baas.supabase-rls хэрэглэгчийн өгөгдлийг мутаци хийхгүйгээр байрлуулсан Supabase REST өртөлтийг шалгадаг. Идэвхтэй хаалттай шалгалтууд нь тусдаа, зөвшөөрөлтэй ажлын урсгал хэвээр байна.