// docs / baas security
BaaS güvenliği
Backend-as-a-Service platformları — Supabase, Firebase, Clerk, Auth0 — bir uygulamanın yapay zeka kodlama araçlarının en az dikkatle ele aldığı kısımlarını barındırır: row-level security, storage kuralları, kimlik sağlayıcı yapılandırması ve hangi anahtarların tarayıcıya gönderileceği. Bu bölüm, bu yanlış yapılandırmaların üretimde gerçekte nasıl göründüğüne ve nasıl bulunup düzeltileceğine odaklanmış makalelerden oluşan bir kütüphanedir. Her makale, kendi deployment'ınızın tek tıkla taranmasıyla sona erer.
// supabase rls tarayıcısı
Supabase RLS tarayıcısı: eksik veya bozuk row-level security olan tabloları bulun
Veritabanı dışından pasif bir RLS taramasının kanıtlayabileceği şeyler, yapay zeka kodlama araçlarının varsayılan olarak ürettiği dört bozuk RLS biçimi, FixVibe'ın
baas.supabase-rlskontrolünün nasıl çalıştığı ve eksik bir policy bulunduğunda uygulanacak tam SQL.Uygulamanızı eksik RLS için tarayın →
// service role anahtar ifşası
JavaScript'te ifşa olan Supabase service role anahtarı
Service role anahtarının ne olduğu, neden asla tarayıcıda yaşamaması gerektiği ve yapay zeka kodlama araçlarının onu üretime kazara gönderdiği üç yol. Sızdırılan bir anahtarı tanımlayan JWT şeklini, anında müdahale runbook'unu ve FixVibe paket taramasının onu nasıl yakaladığını içerir.
Paketinizde gizli bilgiler dağıtılmış mı kontrol edin →
// storage sertleştirme
Supabase storage bucket güvenlik kontrol listesi
Supabase Storage'ı sertleştirmek için odaklanmış 22 maddelik bir kontrol listesi — bucket görünürlüğü,
objectstablosunda RLS policy'leri, MIME türü doğrulama, imzalı URL işleme, anti-sıralama önlemleri ve operasyonel hijyen. Her madde 5-15 dakikada bitirebileceğiniz bir öğedir.Public bucket'ları ve anon-listelenebilir storage'ı tarayın →
// firebase kuralları tarayıcısı
Firebase kuralları tarayıcısı: açık Firestore, Realtime Database ve Storage kurallarını bulun
Bir Firebase kuralları tarayıcısının dışarıdan nasıl çalıştığı, yapay zeka araçlarının ürettiği test-modu desenleri, her biri kendi kural denetimine ihtiyaç duyan üç Firebase hizmeti (Firestore, Realtime Database, Storage) ve bir taramanın kimlik bilgisi olmadan neyi kanıtlayabileceği.
Açık okuma/yazma kurallarını kontrol edin →
// kural sözdizimi açıklaması
Firebase allow read, write: if true açıklaması
allow read, write: if true;kuralının aslında ne yaptığı, Firebase'in onu neden test-modu varsayılanı olarak gönderdiği, bir saldırganın gördüğü tam davranış ve onu üretim için güvenli bir kuralla değiştirmenin dört yolu. Kopyala-yapıştır bir denetim sorgusu ve beş adımlı bir düzeltme planı içerir.Üretim URL'nizi tarayın →
// clerk sertleştirme
Clerk güvenlik kontrol listesi
Bir Clerk entegrasyonunu sertleştirmek için 20 maddelik bir kontrol listesi — ortam anahtarı hijyeni, oturum ayarları, webhook doğrulama, organizasyon izinleri, JWT şablonu kapsamı ve operasyonel izleme. Alan başına gruplanmış lansman öncesi ve devam eden maddeler.
Auth/oturum yanlış yapılandırmalarını kontrol edin →
// auth0 sertleştirme
Auth0 güvenlik kontrol listesi
Uygulama türü ve grant'leri, callback / logout URL allowlist'leri, refresh-token rotasyonu, özel-action güvenliği, RBAC ve kaynak sunucuları, anomali algılama ve kiracı log izlemeyi kapsayan 22 maddelik bir Auth0 denetimi. Yapay zeka tarafından üretilmiş SaaS uygulamalarının sürekli atladığı maddeleri yakalar.
Kimlik sağlayıcı ifşasını kontrol edin →
// şemsiye tarayıcı
BaaS yanlış yapılandırma tarayıcısı: Supabase, Firebase, Clerk ve Auth0'da public veri yollarını bulun
BaaS sağlayıcılarının güvenlikte neden aynı şekilde başarısız olduğu, BaaS destekli her uygulamanın denetlemesi gereken beş yanlış yapılandırma sınıfı, şemsiye FixVibe BaaS taramasının dört sağlayıcı üzerinde nasıl çalıştığı, her tarayıcının neyi kanıtlayabileceğine dair yan yana karşılaştırma ve Burp, ZAP ve SAST araçlarına dürüst karşılaştırma.
Kullanıcılardan önce public veri yollarını bulun →
Sırada ne var
FixVibe tarama motoru kapsamını büyüttükçe daha fazla BaaS odaklı makale buraya eklenecek. Tarama motoru changelog'u her yeni tespiti kaydeder — FixVibe'ın artık dışarıdan neyi kanıtlayabildiğinin sürekli güncellenen kaydı için abone olun.