// docs / baas security
Безпека BaaS
Платформи Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — керують тими частинами застосунку, до яких ШІ-інструменти кодування ставляться найменш обережно: безпека на рівні рядків, правила сховища, конфігурація постачальника ідентифікації та які ключі потрапляють у браузер. Цей розділ — це цільова бібліотека статей про те, як ці неправильні налаштування насправді виглядають у продакшені та як їх знайти й виправити. Кожна стаття завершується скануванням вашого власного розгортання одним кліком.
// сканер supabase rls
Сканер Supabase RLS: знайдіть таблиці з відсутньою або зламаною безпекою на рівні рядків
Що може довести пасивне сканування RLS поза базою даних, чотири форми зламаного RLS, які ШІ-інструменти кодування генерують за замовчуванням, як працює перевірка FixVibe
baas.supabase-rlsта точний SQL для застосування, коли знайдено відсутню політику.Сканувати ваш застосунок на відсутність RLS →
// розкриття сервісного ключа
Сервісний ключ Supabase, розкритий у JavaScript
Що таке сервісний ключ, чому він ніколи не повинен жити в браузері, та три способи, якими ШІ-інструменти кодування випадково надсилають його в продакшен. Включає форму JWT, яка ідентифікує витеклий ключ, посібник негайного реагування та як це виявляє сканування бандла FixVibe.
Перевірити, чи потрапили секрети у ваш бандл →
// зміцнення сховища
Чек-лист безпеки сховищ Supabase
Цільовий 22-пунктний чек-лист для зміцнення Supabase Storage — видимість кошика, політики RLS на таблиці
objects, перевірка MIME-типу, обробка підписаних URL, заходи проти перерахування та операційна гігієна. Кожен пункт — це один пункт, який можна виконати за 5-15 хвилин.Сканувати публічні кошики та анонімно перелічувані сховища →
// сканер правил firebase
Сканер правил Firebase: знайдіть відкриті правила Firestore, Realtime Database та Storage
Як працює сканер правил Firebase ззовні, шаблони тестового режиму, які генерують ШІ-інструменти, три сервіси Firebase, кожен з яких потребує свого аудиту правил (Firestore, Realtime Database, Storage), та що може довести сканування без облікових даних.
Перевірити відкриті правила читання/запису →
// пояснення синтаксису правил
Firebase allow read, write: if true пояснено
Що насправді робить правило
allow read, write: if true;, чому Firebase постачає його за замовчуванням у тестовому режимі, точна поведінка, яку бачить зловмисник, та чотири способи замінити його на безпечне для продакшену правило. Включає копійований запит аудиту та п'ятикроковий план виправлення.Сканувати ваш продакшен-URL →
// зміцнення clerk
Чек-лист безпеки Clerk
20-пунктний чек-лист для зміцнення інтеграції Clerk — гігієна ключів оточення, налаштування сесій, перевірка вебхуків, дозволи організацій, обмеження JWT-шаблонів та операційний моніторинг. Передзапускні та поточні пункти, згруповані за областю.
Перевірити неправильні налаштування auth/сесій →
// зміцнення auth0
Чек-лист безпеки Auth0
22-пунктний аудит Auth0, що охоплює тип застосунку та grants, allowlist callback / logout URL, ротацію refresh-токенів, безпеку custom-actions, RBAC та resource servers, виявлення аномалій та моніторинг tenant-логів. Ловить пункти, які ШІ-згенеровані SaaS-застосунки постійно пропускають.
Перевірити розкриття провайдера ідентичності →
// оглядовий сканер
Сканер неправильних налаштувань BaaS: знайдіть публічні шляхи даних у Supabase, Firebase, Clerk та Auth0
Чому постачальники BaaS зазнають невдачі в безпеці однією формою, п'ять класів неправильних налаштувань, які потрібно перевіряти кожному застосунку на базі BaaS, як працює оглядове сканування FixVibe BaaS у всіх чотирьох постачальників, паралельне порівняння того, що може довести кожен сканер, та чесне порівняння з Burp, ZAP та SAST-інструментами.
Знайти публічні шляхи даних раніше за користувачів →
Що далі
У міру розширення охоплення рушія сканування FixVibe сюди потрапляють нові статті, присвячені BaaS. Журнал змін рушія сканування фіксує кожне нове виявлення — підпишіться, щоб отримувати актуальний реєстр того, що FixVibe тепер може довести ззовні.