// docs / baas security
Bảo mật BaaS
Các nền tảng Backend-as-a-Service — Supabase, Firebase, Clerk, Auth0 — xử lý chính những phần mà các công cụ AI lập trình ít cẩn thận nhất: bảo mật cấp dòng, quy tắc lưu trữ, cấu hình nhà cung cấp danh tính và những key nào được gửi đến trình duyệt. Phần này là một thư viện các bài viết tập trung về việc những cấu hình sai đó thực sự trông như thế nào trong môi trường production và cách tìm cũng như sửa chúng. Mỗi bài viết kết thúc bằng một lượt quét chỉ với một cú nhấp cho deployment của chính bạn.
// supabase rls scanner
Supabase RLS scanner: tìm các bảng thiếu hoặc bị hỏng bảo mật cấp dòng
Một lượt quét RLS thụ động có thể chứng minh được gì từ bên ngoài cơ sở dữ liệu, bốn dạng RLS bị hỏng mà các công cụ AI lập trình tạo ra mặc định, cách check
baas.supabase-rlscủa FixVibe hoạt động, và đoạn SQL chính xác để áp dụng khi phát hiện thiếu policy.Quét ứng dụng để tìm RLS thiếu →
// service role key bị lộ
Service role key Supabase bị lộ trong JavaScript
Service role key là gì, tại sao nó không bao giờ được sống trong trình duyệt, và ba cách các công cụ AI lập trình vô tình đẩy nó ra production. Bao gồm hình dạng JWT giúp nhận diện key bị rò rỉ, runbook phản ứng tức thì và cách lượt quét bundle của FixVibe phát hiện nó.
Kiểm tra xem bí mật có lọt vào bundle không →
// gia cố storage
Danh sách kiểm tra bảo mật storage bucket Supabase
Một danh sách kiểm tra tập trung 22 mục để gia cố Supabase Storage — khả năng hiển thị bucket, policy RLS trên bảng
objects, xác thực MIME-type, xử lý signed URL, biện pháp chống liệt kê và vệ sinh vận hành. Mỗi mục là một việc bạn có thể hoàn thành trong 5-15 phút.Quét bucket công khai và storage có thể liệt kê ẩn danh →
// firebase rules scanner
Firebase rules scanner: tìm rules mở của Firestore, Realtime Database và Storage
Cách một Firebase rules scanner hoạt động từ bên ngoài, các mẫu chế độ thử nghiệm mà các công cụ AI tạo ra, ba dịch vụ Firebase mỗi cái cần được kiểm toán rule riêng (Firestore, Realtime Database, Storage), và những gì một lượt quét có thể chứng minh mà không có thông tin xác thực.
Kiểm tra các rule đọc/ghi mở →
// giải thích cú pháp rule
Giải thích Firebase allow read, write: if true
Rule
allow read, write: if true;thực sự làm gì, vì sao Firebase ship nó như mặc định chế độ thử nghiệm, hành vi chính xác mà kẻ tấn công thấy, và bốn cách để thay thế nó bằng một rule an toàn cho production. Bao gồm một truy vấn kiểm toán sao chép-dán và kế hoạch khắc phục năm bước.Quét URL production của bạn →
// gia cố clerk
Danh sách kiểm tra bảo mật Clerk
Một danh sách kiểm tra 20 mục để gia cố tích hợp Clerk — vệ sinh environment key, cài đặt phiên, xác minh webhook, quyền tổ chức, giới hạn JWT template và giám sát vận hành. Các mục trước khi ra mắt và liên tục được nhóm theo khu vực.
Kiểm tra cấu hình sai auth/phiên →
// gia cố auth0
Danh sách kiểm tra bảo mật Auth0
Một kiểm toán Auth0 22 mục bao gồm loại ứng dụng và grant, danh sách trắng URL callback / logout, xoay vòng refresh token, bảo mật custom action, RBAC và resource server, phát hiện bất thường và giám sát log tenant. Bắt các mục mà ứng dụng SaaS do AI tạo ra liên tục bỏ sót.
Kiểm tra phơi nhiễm nhà cung cấp danh tính →
// scanner tổng hợp
BaaS misconfiguration scanner: tìm đường dẫn dữ liệu công khai trên Supabase, Firebase, Clerk và Auth0
Vì sao các nhà cung cấp BaaS thất bại bảo mật theo cùng hình dạng, năm lớp cấu hình sai mà mọi ứng dụng dùng BaaS cần kiểm toán, cách lượt quét tổng hợp BaaS của FixVibe hoạt động trên cả bốn nhà cung cấp, so sánh song song những gì mỗi scanner có thể chứng minh và so sánh trung thực với Burp, ZAP và các công cụ SAST.
Tìm đường dẫn dữ liệu công khai trước khi người dùng tìm thấy →
Sắp tới sẽ có gì
Nhiều bài viết tập trung về BaaS sẽ xuất hiện ở đây khi công cụ quét của FixVibe mở rộng phạm vi. Changelog của scan engine ghi lại mọi phát hiện mới — hãy đăng ký để theo dõi sổ ghi liên tục những gì FixVibe hiện có thể chứng minh từ bên ngoài.