FixVibe
Covered by FixVibehigh

Supabase လုံခြုံရေးစစ်ဆေးမှုစာရင်း- RLS၊ API သော့များနှင့် သိုလှောင်မှု

ZXCVFIXVIBESEG၂ ဤသုတေသနဆောင်းပါးသည် Supabase ပရောဂျက်များအတွက် အရေးကြီးသော လုံခြုံရေးပုံစံများကို အကျဉ်းချုပ်ဖော်ပြထားသည်။ ဒေတာဘေ့စ်အတန်းများကိုကာကွယ်ရန်၊ anon နှင့် service_role API သော့များကို လုံခြုံစွာကိုင်တွယ်ခြင်းနှင့် ဒေတာထိတွေ့မှုနှင့် ခွင့်ပြုချက်မရှိသောဝင်ရောက်မှုအန္တရာယ်များကို လျော့ပါးသက်သာစေရန် သိုလှောင်မှုပုံးများအတွက် ဝင်ရောက်ထိန်းချုပ်မှုအား တွန်းအားပေးခြင်းအပေါ် ၎င်းတွင် အာရုံစိုက်ထားသည်။

CWE-284CWE-668

ချိတ်

Supabase ပရောဂျက်တစ်ခုအား လုံခြုံစေရန် API သော့စီမံခန့်ခွဲမှု၊ ဒေတာဘေ့စ်လုံခြုံရေးနှင့် သိုလှောင်မှုခွင့်ပြုချက်များကို အဓိကထားကာ အလွှာပေါင်းစုံချဉ်းကပ်မှု လိုအပ်သည်။ [S1] အတန်းအဆင့် လုံခြုံရေး (RLS) မှားယွင်းစွာ စီစဉ်သတ်မှတ်ထားခြင်း သို့မဟုတ် ထိလွယ်ရှလွယ်သောသော့များသည် သိသာထင်ရှားသောဒေတာထိတွေ့မှုဖြစ်စဉ်များဆီသို့ ဦးတည်သွားစေနိုင်သည်။ [S2] [S3]

ဘာတွေပြောင်းလဲသွားလဲ။

ဤသုတေသနသည် တရားဝင်ဗိသုကာလမ်းညွှန်ချက်များအပေါ် အခြေခံ၍ Supabase ပတ်ဝန်းကျင်များအတွက် အဓိကလုံခြုံရေးထိန်းချုပ်မှုများကို စုစည်းထားသည်။ [S1] ၎င်းသည် ပုံမှန်ဖွံ့ဖြိုးတိုးတက်မှုပုံစံများမှ ထုတ်လုပ်မှု-မာကျောသော ကိုယ်ဟန်အနေအထားသို့ ကူးပြောင်းခြင်းအပေါ် အာရုံစိုက်ပြီး၊ အထူးသဖြင့် ဝင်ရောက်ထိန်းချုပ်မှုယန္တရားများနှင့် ပတ်သက်သည်။ [S2] [S3]

ဘယ်သူတွေ ထိခိုက်လဲ။

Backend-as-a-Service (BaaS) အဖြစ် Supabase ကို အသုံးပြုသည့် အပလီကေးရှင်းများသည် အထူးသဖြင့် သုံးစွဲသူ၏ သီးခြားဒေတာ သို့မဟုတ် ကိုယ်ရေးကိုယ်တာ ပိုင်ဆိုင်မှုများကို ကိုင်တွယ်သည့် အက်ပလီကေးရှင်းများကို ထိခိုက်ပါသည်။ [S2] ကလိုင်းယင့်ဘေးထွက်အစုအဝေးများတွင် service_role သော့ပါဝင်သည့်ဆော့ဖ်ဝဲရေးသားသူများ သို့မဟုတ် RLS ကိုဖွင့်ရန်ပျက်ကွက်သူများသည် အန္တရာယ်များပါသည်။ [S1]

ပြဿနာက ဘယ်လိုလဲ။

ZXCVFIXVIBESEG၁၀ Supabase သည် ဒေတာဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် PostgreSQL ၏ အတန်းအဆင့် လုံခြုံရေးကို မြှင့်တင်ထားသည်။ [S2] မူရင်းအားဖြင့်၊ RLS ကို ဇယားတစ်ခုပေါ်တွင် ဖွင့်မထားပါက၊ anon သော့ပါသော အသုံးပြုသူတိုင်း—မကြာခဏ အများသူငှာဖြစ်သည်—မှတ်တမ်းအားလုံးကို ဝင်ရောက်ကြည့်ရှုနိုင်ပါသည်။ [S1] အလားတူ၊ Supabase သိုလှောင်မှုသည် ဖိုင်ပုံးများတွင် မည်သည့်အသုံးပြုသူများ သို့မဟုတ် အခန်းကဏ္ဍများ လုပ်ဆောင်နိုင်သည်ကို သတ်မှတ်ရန် တိကျသောမူဝါဒများ လိုအပ်ပါသည်။ [S3]

ZXCVFIXVIBESEG ၁၁

တိုက်ခိုက်သူသည် အဘယ်အရာကို ရရှိသနည်း။

အများသူငှာ API သော့တစ်ခုပိုင်ဆိုင်ထားသည့် တိုက်ခိုက်သူသည် အခြားအသုံးပြုသူများပိုင်ဒေတာကို ဖတ်ရန်၊ ပြင်ဆင်ရန် သို့မဟုတ် ဖျက်ရန် ပျောက်ဆုံးနေသော RLS ဇယားများကို အသုံးချနိုင်သည်။ [S1] [S2] သိုလှောင်ပုံးများသို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်အသုံးပြုခြင်းသည် ကိုယ်ပိုင်အသုံးပြုသူဖိုင်များကို ထိတွေ့ခြင်း သို့မဟုတ် အရေးကြီးသော အပလီကေးရှင်းပိုင်ဆိုင်မှုများကို ဖျက်ပစ်ခြင်းသို့ ဦးတည်သွားစေနိုင်သည်။ [S3]

ZXCVFIXVIBESEG၁၃

FixVibe စမ်းသပ်နည်း

ZXCVFIXVIBESEG ၁၄ FixVibe သည် ၎င်း၏ Supabase စစ်ဆေးမှုများ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် ယခု အကျုံးဝင်ပါသည်။ baas.supabase-security-checklist-backfill သည် အများသူငှာ Supabase သိုလှောင်မှုပုံး မက်တာဒေတာ၊ အမည်မသိ အရာဝတ္ထုစာရင်းသွင်းခြင်း ထိတွေ့မှု၊ ထိလွယ်ရှလွယ် ပုံးအမည်ပေးခြင်းနှင့် အများသူငှာ anon နယ်နိမိတ်မှ ကန့်သတ်ထားသော သိုလှောင်မှုအချက်ပြမှုများကို သုံးသပ်သည်။ ဆက်စပ်တိုက်ရိုက်ထုတ်လွှစစ်ဆေးမှုများသည် ဝန်ဆောင်မှုကဏ္ဍသော့နှင့်ထိတွေ့မှု၊ Supabase REST/RLS ကိုယ်ဟန်အနေအထား၊ နှင့် RLS ပျောက်နေသော RLS တို့ကို သိမ်းဆည်းသည့် SQL ရွှေ့ပြောင်းမှုများကို စစ်ဆေးပါ။

##ဘာပြင်ရမလဲ

ZXCVFIXVIBESEG၁၆ ဒေတာဘေ့စ်ဇယားများပေါ်တွင် Row Level Security ကို အမြဲတမ်းဖွင့်ပြီး စစ်မှန်ကြောင်းသက်သေပြထားသော အသုံးပြုသူများအတွက် အသေးစိတ်မူဝါဒများကို အကောင်အထည်ဖော်ပါ။ [S2] 'anon' သော့ကို သုံးစွဲသူဘက်မှ ကုဒ်တွင်သာ အသုံးပြုကြောင်း သေချာစေကာ 'service_role' သော့သည် ဆာဗာပေါ်တွင် ကျန်ရှိနေချိန်တွင် ဖြစ်သည်။ [S1] သည် ဖိုင်ပုံးများကို မူရင်းအတိုင်း သီးသန့်ဖြစ်ပြီး သတ်မှတ်ထားသော လုံခြုံရေးမူဝါဒများမှတစ်ဆင့်သာ ဝင်ရောက်ခွင့်ရှိကြောင်း သေချာစေရန် သိုလှောင်အသုံးပြုခွင့် ထိန်းချုပ်မှုကို သတ်မှတ်ပါ။ [S3]