FixVibe
Covered by FixVibehigh

| Supabase ସୁରକ୍ଷା ଯାଞ୍ଚ ତାଲିକା: RLS, API କି, ଏବଂ ସଂରକ୍ଷଣ

| ZXCVFIXVIBESEG2 | ଏହି ଅନୁସନ୍ଧାନ ପ୍ରବନ୍ଧ Supabase ପ୍ରକଳ୍ପଗୁଡ଼ିକ ପାଇଁ ଜଟିଳ ସୁରକ୍ଷା ସଂରଚନାକୁ ବର୍ଣ୍ଣନା କରେ | ଡାଟାବେସ୍ ଧାଡିଗୁଡିକର ସୁରକ୍ଷା, ଆନ୍ନ୍ ଏବଂ ସର୍ଭିସ୍_ରୋଲ୍ API କିଗୁଡ଼ିକର ସୁରକ୍ଷିତ ନିୟନ୍ତ୍ରଣ, ଏବଂ ଡାଟା ଏକ୍ସପୋଜର ଏବଂ ଅନଧିକୃତ ପ୍ରବେଶର ବିପଦକୁ ହ୍ରାସ କରିବା ପାଇଁ ଏହା ଧାଡି ସ୍ତରର ସୁରକ୍ଷା (RLS) ର ସଠିକ୍ କାର୍ଯ୍ୟକାରିତା ଉପରେ ଧ୍ୟାନ ଦେଇଥାଏ |

CWE-284CWE-668

| ZXCVFIXVIBESEG3 |

ହୁକ୍ |

| ZXCVFIXVIBESEG4 | ଏକ Supabase ପ୍ରୋଜେକ୍ଟକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ API କି ପରିଚାଳନା, ଡାଟାବେସ୍ ସୁରକ୍ଷା, ଏବଂ ସଂରକ୍ଷଣ ଅନୁମତି ଉପରେ ଧ୍ୟାନ ଦେଇ ଏକ ବହୁ ସ୍ତରୀୟ ଆଭିମୁଖ୍ୟ ଆବଶ୍ୟକ କରେ | [S1] ଭୁଲ ଭାବରେ ବିନ୍ୟାସିତ ଧାଡି ସ୍ତର ସୁରକ୍ଷା (RLS) କିମ୍ବା ଉନ୍ମୋଚିତ ସମ୍ବେଦନଶୀଳ ଚାବିଗୁଡ଼ିକ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ ତଥ୍ୟ ଏକ୍ସପୋଜର ଘଟଣାର କାରଣ ହୋଇପାରେ | [S2] [S3]

| ZXCVFIXVIBESEG5 |

କଣ ବଦଳିଲା |

| ZXCVFIXVIBESEG6 | ଏହି ଅନୁସନ୍ଧାନ ସରକାରୀ ସ୍ଥାପତ୍ୟ ନିର୍ଦ୍ଦେଶାବଳୀ ଉପରେ ଆଧାର କରି Supabase ପରିବେଶ ପାଇଁ ମୂଳ ସୁରକ୍ଷା ନିୟନ୍ତ୍ରଣକୁ ଏକତ୍ର କରିଥାଏ | [S1] ଏହା ଡିଫଲ୍ଟ ବିକାଶ ବିନ୍ୟାସକରଣରୁ ଉତ୍ପାଦନ-କଠିନ ସ୍ଥିତିକୁ ସ୍ଥାନାନ୍ତରଣ ଉପରେ ଧ୍ୟାନ ଦେଇଥାଏ, ବିଶେଷ ଭାବରେ ପ୍ରବେଶ ନିୟନ୍ତ୍ରଣ ଯନ୍ତ୍ରଗୁଡ଼ିକ ବିଷୟରେ | [S2] [S3]

| ZXCVFIXVIBESEG7 |

କିଏ ପ୍ରଭାବିତ ହୋଇଛି |

| ZXCVFIXVIBESEG8 | Supabase କୁ ବ୍ୟାକେଣ୍ଡ୍-ଏସ୍-ସର୍ଭିସ୍ (BaaS) ଭାବରେ ବ୍ୟବହାର କରୁଥିବା ପ୍ରୟୋଗଗୁଡ଼ିକ ପ୍ରଭାବିତ ହୋଇଥାଏ, ବିଶେଷତ those ଯେଉଁମାନେ ଉପଭୋକ୍ତା ନିର୍ଦ୍ଦିଷ୍ଟ ତଥ୍ୟ କିମ୍ବା ବ୍ୟକ୍ତିଗତ ସମ୍ପତ୍ତି ପରିଚାଳନା କରନ୍ତି | [S2] ବିକାଶକାରୀ ଯେଉଁମାନେ service_role ଚାବିକୁ କ୍ଲାଏଣ୍ଟ ସାଇଡ୍ ବଣ୍ଡଲରେ ଅନ୍ତର୍ଭୂକ୍ତ କରନ୍ତି କିମ୍ବା RLS କୁ ବିପଦରେ ପକାନ୍ତି | [S1] |

| ZXCVFIXVIBESEG9 |

ଇସୁ କିପରି କାମ କରେ |

| ZXCVFIXVIBESEG10 Supabase ଡାଟା ପ୍ରବେଶକୁ ସୀମିତ କରିବା ପାଇଁ PostgreSQL ର ଧାଡି ସ୍ତରର ସୁରକ୍ଷାକୁ ବ୍ୟବହାର କରିଥାଏ | [S2] ଡିଫଲ୍ଟ ଭାବରେ, ଯଦି RLS ଏକ ଟେବୁଲରେ ସକ୍ଷମ ହୋଇନଥାଏ, anon ଚାବି ଥିବା ଯେକ user ଣସି ଉପଭୋକ୍ତା - ଯାହା ପ୍ରାୟତ public ସର୍ବସାଧାରଣ - ସମସ୍ତ ରେକର୍ଡକୁ ପ୍ରବେଶ କରିପାରିବ | [S1] ସେହିପରି, Supabase ଷ୍ଟୋରେଜ୍ କେଉଁ ବାଳକ କିମ୍ବା ଭୂମିକା ଫାଇଲ ବାଲଟିରେ ଅପରେସନ୍ କରିପାରିବ ତାହା ବ୍ୟାଖ୍ୟା କରିବାକୁ ସ୍ପଷ୍ଟ ନୀତି ଆବଶ୍ୟକ କରେ | [S3] |

| ZXCVFIXVIBESEG11

ଜଣେ ଆକ୍ରମଣକାରୀ କ’ଣ ପାଇଥାଏ |

| ZXCVFIXVIBESEG12 ଏକ ସାର୍ବଜନୀନ API ଚାବି ଥିବା ଜଣେ ଆକ୍ରମଣକାରୀ ଅନ୍ୟ ଉପଭୋକ୍ତାଙ୍କର ତଥ୍ୟ ପ read ିବା, ରୂପାନ୍ତର କିମ୍ବା ବିଲୋପ କରିବା ପାଇଁ RLS ନିଖୋଜ ଥିବା ଟେବୁଲଗୁଡିକୁ ବ୍ୟବହାର କରିପାରନ୍ତି | [S1] [S2] ଷ୍ଟୋରେଜ୍ ବାଲ୍ଟିକୁ ଅନଧିକୃତ ପ୍ରବେଶ ବ୍ୟକ୍ତିଗତ ଉପଭୋକ୍ତା ଫାଇଲଗୁଡିକର ଏକ୍ସପୋଜର୍ କିମ୍ବା ଜଟିଳ ପ୍ରୟୋଗ ସମ୍ପତ୍ତି ବିଲୋପ କରିପାରେ | [S3] |

| ZXCVFIXVIBESEG13 |

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG14 FixVibe ବର୍ତ୍ତମାନ ଏହାର Supabase ଯାଞ୍ଚର ଏକ ଅଂଶ ଭାବରେ ଏହାକୁ ଆବୃତ କରେ | baas.supabase-security-checklist-backfill ସାର୍ବଜନୀନ Supabase ଷ୍ଟୋରେଜ୍ ବାଲ୍ଟି ମେଟାଡାଟା, ଅଜ୍ଞାତ ବସ୍ତୁ-ତାଲିକା ଏକ୍ସପୋଜର, ସମ୍ବେଦନଶୀଳ ବାଲ୍ଟି ନାମକରଣ, ଏବଂ ଆନ୍ନ୍-ବନ୍ଧା ଷ୍ଟୋରେଜ୍ ସିଗନାଲ୍ ଗୁଡିକ ସାର୍ବଜନୀନ ଆନ୍ ସୀମାରୁ ସମୀକ୍ଷା କରେ | ସମ୍ପୃକ୍ତ ଲାଇଭ ଚେକ୍ ସେବା-ଭୂମିକା ଚାବି ଏକ୍ସପୋଜର, Supabase REST / RLS ସ୍ଥିତି, ଏବଂ RLS ନିଖୋଜ ପାଇଁ ସଂଗ୍ରହାଳୟ SQL ସ୍ଥାନାନ୍ତରଣ ଯାଞ୍ଚ କରେ |

| ZXCVFIXVIBESEG15

କଣ ଠିକ୍ କରିବେ |

| ZXCVFIXVIBESEG16 | ଡାଟାବେସ୍ ସାରଣୀଗୁଡ଼ିକରେ ସର୍ବଦା ଧାଡି ସ୍ତରର ସୁରକ୍ଷାକୁ ସକ୍ଷମ କରନ୍ତୁ ଏବଂ ପ୍ରାମାଣିକ ବ୍ୟବହାରକାରୀଙ୍କ ପାଇଁ ଗ୍ରାନୁଲାର୍ ନୀତି କାର୍ଯ୍ୟକାରୀ କରନ୍ତୁ | [S2] ନିଶ୍ଚିତ କରନ୍ତୁ ଯେ କ୍ଲାଏଣ୍ଟ-ସାଇଡ୍ କୋଡରେ କେବଳ 'ଆନ୍' ଚାବି ବ୍ୟବହୃତ ହେଉଥିବାବେଳେ ସର୍ଭରରେ 'ସର୍ଭିସ୍_୍ରୋଲ୍' ଚାବି ରହିଥାଏ | [S1] ଷ୍ଟୋରେଜ୍ ଆକ୍ସେସ୍ କଣ୍ଟ୍ରୋଲ୍ ବିନ୍ୟାସ କରନ୍ତୁ ଯେ ଫାଇଲ୍ ବାଲ୍ଟିଗୁଡିକ ଡିଫଲ୍ଟ ଭାବରେ ବ୍ୟକ୍ତିଗତ ଅଟେ ଏବଂ କେବଳ ନିର୍ଦ୍ଦିଷ୍ଟ ସୁରକ୍ଷା ନୀତି ମାଧ୍ୟମରେ ପ୍ରବେଶ ଅନୁମତି ଦିଆଯାଏ | [S3] |