// docs / baas security
Segurança BaaS
As plataformas Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — tratam precisamente das partes de uma aplicação com as quais as ferramentas de codificação com IA lidam de forma menos cuidadosa: segurança ao nível da linha, regras de armazenamento, configuração do fornecedor de identidade e que chaves vão para o navegador. Esta secção é uma biblioteca focada de artigos sobre como essas configurações incorretas aparecem realmente em produção e como encontrá-las e corrigi-las. Cada artigo termina com um varrimento de um clique do seu próprio deploy.
// scanner de rls supabase
Scanner de RLS Supabase: encontre tabelas com segurança ao nível da linha ausente ou avariada
O que um varrimento RLS passivo pode provar de fora da base de dados, as quatro formas de RLS avariado que as ferramentas de codificação com IA geram por defeito, como funciona a verificação
baas.supabase-rlsdo FixVibe e o SQL exato a aplicar quando uma política em falta for encontrada.Varra a sua app à procura de RLS em falta →
// exposição da chave de role de serviço
Chave de role de serviço Supabase exposta em JavaScript
O que é a chave de role de serviço, porque é que nunca pode viver no navegador e as três formas como ferramentas de codificação com IA acidentalmente a publicam em produção. Inclui o formato do JWT que identifica uma chave vazada, um runbook de resposta imediata e como o bundle scan do FixVibe a deteta.
Verifique se segredos foram para o seu bundle →
// endurecimento de storage
Checklist de segurança de buckets Supabase Storage
Um checklist focado de 22 itens para endurecer o Supabase Storage — visibilidade de bucket, políticas RLS na tabela
objects, validação de tipos MIME, manuseamento de URLs assinadas, medidas anti-enumeração e higiene operacional. Cada item consegue terminar em 5-15 minutos.Varra buckets públicos e storage listável anonimamente →
// scanner de regras firebase
Scanner de regras Firebase: encontre regras abertas no Firestore, Realtime Database e Storage
Como um scanner de regras Firebase trabalha de fora, os padrões de modo de teste que ferramentas de IA geram, os três serviços Firebase que cada um precisa da sua própria auditoria de regras (Firestore, Realtime Database, Storage) e o que um varrimento pode provar sem credenciais.
Verifique se há regras abertas de leitura/escrita →
// explicação de sintaxe de regras
Firebase allow read, write: if true explicado
O que a regra
allow read, write: if true;realmente faz, porque é que o Firebase a entrega como padrão de modo de teste, o comportamento exato que um atacante vê e as quatro formas de a substituir por uma regra segura para produção. Inclui uma consulta de auditoria pronta a copiar e um plano de remediação em cinco passos.Varra a sua URL de produção →
// endurecimento de clerk
Checklist de segurança Clerk
Um checklist de 20 itens para endurecer uma integração Clerk — higiene de chaves de ambiente, configurações de sessão, verificação de webhooks, permissões de organização, restrição de templates JWT e monitorização operacional. Itens pré-lançamento e contínuos agrupados por área.
Verifique configurações incorretas de auth/sessão →
// endurecimento de auth0
Checklist de segurança Auth0
Uma auditoria Auth0 de 22 itens cobrindo tipo de aplicação e grants, allowlists de URL de callback/logout, rotação de refresh tokens, segurança de actions customizadas, RBAC e resource servers, deteção de anomalias e monitorização de logs de tenant. Apanha os itens que apps SaaS gerados por IA consistentemente perdem.
Verifique exposição do fornecedor de identidade →
// scanner guarda-chuva
Scanner de configurações incorretas de BaaS: encontre caminhos de dados públicos em Supabase, Firebase, Clerk e Auth0
Porque é que fornecedores BaaS falham em segurança da mesma forma, as cinco classes de configuração incorreta que cada app apoiado por BaaS precisa auditar, como o varrimento BaaS guarda-chuva do FixVibe funciona em todos os quatro fornecedores, a comparação lado a lado do que cada scanner pode provar e uma comparação honesta com Burp, ZAP e ferramentas SAST.
Encontre caminhos de dados públicos antes dos utilizadores →
O que vem a seguir
Mais artigos focados em BaaS aterram aqui à medida que o motor de varrimento do FixVibe expande a sua cobertura. O changelog do motor de varrimento regista cada nova deteção — subscreva para o registo contínuo do que o FixVibe agora consegue provar de fora.