// docs / baas security
Безопасность BaaS
Платформы Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — управляют теми частями приложения, к которым ИИ-инструменты для кодирования относятся наименее аккуратно: безопасность на уровне строк, правила хранилища, конфигурация поставщика удостоверений и какие ключи отправляются в браузер. Этот раздел представляет собой целевую библиотеку статей о том, как эти неправильные настройки на самом деле выглядят в продакшене и как их найти и исправить. Каждая статья заканчивается сканированием вашего собственного развертывания одним щелчком.
// сканер supabase rls
Сканер Supabase RLS: найдите таблицы с отсутствующей или сломанной безопасностью на уровне строк
Что может доказать пассивное сканирование RLS вне базы данных, четыре формы сломанного RLS, которые ИИ-инструменты кодирования генерируют по умолчанию, как работает проверка FixVibe
baas.supabase-rls, и точный SQL для применения, когда отсутствующая политика найдена.Сканировать ваше приложение на отсутствие RLS →
// раскрытие ключа сервисной роли
Ключ сервисной роли Supabase, раскрытый в JavaScript
Что такое ключ сервисной роли, почему он никогда не должен находиться в браузере, и три способа, которыми ИИ-инструменты кодирования случайно выпускают его в продакшен. Включает форму JWT, идентифицирующую утёкший ключ, рабочий план немедленного реагирования и то, как сканирование бандла FixVibe его обнаруживает.
Проверить, не попали ли секреты в ваш бандл →
// усиление хранилища
Чек-лист безопасности хранилища Supabase
Целевой чек-лист из 22 пунктов для усиления Supabase Storage — видимость корзин, политики RLS на таблице
objects, проверка MIME-типов, обработка подписанных URL, меры против перечисления и операционная гигиена. Каждый пункт — это один пункт, который можно завершить за 5-15 минут.Сканировать публичные корзины и анонимно перечисляемое хранилище →
// сканер правил firebase
Сканер правил Firebase: найдите открытые правила Firestore, Realtime Database и Storage
Как сканер правил Firebase работает извне, шаблоны тестового режима, которые генерируют ИИ-инструменты, три сервиса Firebase, каждый из которых требует собственного аудита правил (Firestore, Realtime Database, Storage), и что сканирование может доказать без учётных данных.
Проверить открытые правила чтения/записи →
// объяснение синтаксиса правил
Объяснение Firebase allow read, write: if true
Что на самом деле делает правило
allow read, write: if true;, почему Firebase предоставляет его как значение по умолчанию для тестового режима, точное поведение, которое видит злоумышленник, и четыре способа заменить его на правило, безопасное для продакшена. Включает копируемый аудит-запрос и пятишаговый план исправления.Сканировать ваш производственный URL →
// усиление clerk
Чек-лист безопасности Clerk
Чек-лист из 20 пунктов для усиления интеграции Clerk — гигиена ключей окружения, настройки сеанса, проверка webhook, разрешения организации, ограничение JWT-шаблонов и операционный мониторинг. Пред-запусковые и текущие пункты, сгруппированные по области.
Проверить неправильные настройки аутентификации/сеанса →
// усиление auth0
Чек-лист безопасности Auth0
Аудит Auth0 из 22 пунктов, охватывающий тип приложения и гранты, списки разрешённых обратных вызовов / URL выхода, ротацию токенов обновления, безопасность пользовательских действий, RBAC и серверы ресурсов, обнаружение аномалий и мониторинг журнала арендатора. Ловит пункты, которые ИИ-сгенерированные SaaS-приложения последовательно пропускают.
Проверить раскрытие поставщика удостоверений →
// зонтичный сканер
Сканер неправильных настроек BaaS: найдите публичные пути к данным в Supabase, Firebase, Clerk и Auth0
Почему поставщики BaaS терпят неудачу в безопасности в одной и той же форме, пять классов неправильных настроек, которые должно проверять каждое приложение на основе BaaS, как работает зонтичное сканирование FixVibe BaaS у всех четырёх поставщиков, сравнение бок о бок того, что может доказать каждый сканер, и честное сравнение с Burp, ZAP и инструментами SAST.
Найдите публичные пути к данным раньше пользователей →
Что дальше
По мере расширения охвата движка сканирования FixVibe здесь появляются новые статьи, посвящённые BaaS. Журнал изменений движка сканирования фиксирует каждое новое обнаружение — подпишитесь, чтобы получать актуальный реестр того, что FixVibe теперь может доказать извне.