// docs / security guides
安全指南
深入的框架感知指南,用于保护使用 Cursor、Claude Code、Lovable、Bolt、v0、Replit 和 Windsurf 构建的应用程序。每份指南都是独立编写的 - 选择与您现在正在做的事情相匹配的指南。随着 FixVibe 扫描引擎中出现新的攻击类别,更多指南将在此发布。
// category overview
AI-生成的代码安全扫描:DAST 用于vibe编码的应用程序
为什么AI-生成的应用程序需要与传统渗透测试工具不同的扫描。涵盖了在vibe编码的应用程序中不成比例地出现的十个漏洞类别,当代码库是半机器生成时的DAST与SAST,在扫描仪中查找什么,以及FixVibe如何与Burp Suite、OWASP ZAP和Nessus进行比较。
阅读扫描仪底漆 →
// pre-ship audit
vivi 编码安全检查表:发货前的 44 项
针对使用Cursor、Claude Code、Lovable 和Bolt 构建的应用程序的实用的、分阶段组织的清单。七个类别——秘密、数据库、身份验证、标头、第三方、部署、监控——有 44 个可操作的项目,每个项目都标记为部署前/部署时/部署后。
打开清单 →
// step-by-step
如何保护使用 AI 编码工具构建的应用程序
使用代码片段逐步强化。为什么AI-生成的应用程序会以不同的方式失败,立即代码库审核,部署时强化(中间件,CSP,RLS,仅服务器身份验证),持续监控以及五种真实的故障模式及其实际修复。
启动强化指南 →
// cursor-specific checklist
Cursor 应用程序安全检查表
针对 Cursor 特定模式的 28 项强化指南:自动完成内联服务密钥、Composer 无需审查即可生成整个文件、代理模式运行终端命令,而 <code>.cursorrules</code> 是您的第一个安全护栏。 Cursor 工作流的部署前、部署中和部署后检查。
阅读Cursor指南 →
// claude-code-specific checklist
Claude Code安全检查表
Claude Code(Anthropic 的 CLI 代理)的 26 项指南:通过子代理进行多文件重构、无需验证的 bash 操作、<code>.claude/CLAUDE.md</code> 作为安全策略文件,以及提交 <code>.env</code> 或缓存令牌的风险。按阶段和风险领域组织。
阅读Claude Code指南 →
// tool-specific guides
Security checklists for Lovable, Bolt, v0, Replit, and Firebase Studio
Five tool-specific checklists (27-30 items each) for Lovable's Vite bundle leaks, Bolt's terminal history exposure, v0's dangerouslySetInnerHTML re-appearing, Replit's public URLs, and Firebase's test-mode rules. Each guide targets the unique risks of that platform.
Browse the platform guides →
// structural analysis
为什么AI编码工具会留下安全漏洞
对Cursor、Claude Code、Lovable、Bolt 和 v0 中结构盲点的诚实分析。训练数据偏差、自动完成动态、没有长期上下文以及速度指标会造成可预测的安全漏洞。了解每个差距类别的根本原因以及消除该差距的补救模式。
阅读差距分析 →
// scanner selection
为AI-构建的应用程序选择安全扫描仪
选择正确扫描仪的比较和决策框架 — FixVibe、Burp Suite、OWASP ZAP、Snyk 等。涵盖对 AI- 生成的 SaaS 至关重要的评估标准(BaaS 覆盖范围、JS 捆绑检查、框架意识、主动探测门控)、并排表以及六种常见场景的决策矩阵。
比较扫描仪 →
接下来会发生什么
计划添加:Supabase特定的深入研究(RLS模式、JWT形状、边缘功能隔离)、API/MCP主动扫描集成到CI的指南,以及将Lovable/Bolt应用程序交付到生产的后续内容。观看scan-engine changelog,了解驱动每个新指南的最新检测。
