تخطَّ إلى المحتوى

تدقيق الأمان

اطلب من الذكاء الاصطناعي مراجعة الوضع الأمني لتطبيقك، واتّبع أفضل الممارسات الواردة أدناه، واحتفظ بالأسرار في صفحة Settings.

يعتمد الأمان في Proyecta على مزيج من الإعدادات الافتراضية للمنصة، والمراجعات المدعومة بالذكاء الاصطناعي، وعدد من العادات التي ينبغي لك اكتسابها. إليك كيفية التفكير في الأمر.

افتح Command Palette (Cmd+K / Ctrl+K) وحدد Run Security Audit. يرسل هذا الأمر موجّهاً أمنياً شاملاً إلى الذكاء الاصطناعي، الذي يقرأ قاعدة الكود بأكملها ويكشف عن الثغرات مع نتائج مرتّبة حسب الأولوية وإصلاحات محددة.

يشمل التدقيق التحقق من:

  • مفاتيح API والرموز المميزة وكلمات المرور المضمّنة مباشرةً في ملفات المصدر
  • متغيرات البيئة ذات البادئة VITE_ التي قد تُسرّب الأسرار إلى الـ client
  • غياب التحقق من المدخلات على جانب الـ server في API endpoints
  • الصفحات أو API endpoints التي تفتقر إلى المصادقة
  • محتوى المستخدم غير المُعالَج (مخاطر XSS)
  • ثغرات التبعيات
  • المحتوى المختلط أو روابط http:// المضمّنة مباشرةً
  • غياب التحقق من صحة الملفات المرفوعة

يمكنك أيضاً تشغيل تدقيق أمني يدوياً من المحادثة، أو تضييق نطاقه على منطقة محددة:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

احتفظ بالأسرار في مأمن

  • خزّن كل مفتاح API وبيانات اعتماد قاعدة البيانات ورموز الطرف الثالث في قسم متغيرات البيئة في صفحة Settings
  • لا تلصق الأسرار أبداً في رسائل المحادثة أو تُدرجها في الكود عبر commit
  • إن تعرّض أي سر للكشف، ألغِ صلاحيته فوراً لدى المزوّد المعني وأنشئ واحداً جديداً

قيّد الوصول

  • طبّق صلاحيات مبنية على الأدوار في تطبيقك ("Add admin and member roles. Only admins can access /admin pages.")
  • قصر الصفحات والـ endpoints الحساسة على المستخدمين المصادَق عليهم
  • تحقّق دائماً من مدخلات المستخدم على جانب الـ server، ولا تعتمد على الـ client وحده

استخدم HTTPS في كل مكان

  • جميع تطبيقات Proyecta المنشورة تعمل عبر HTTPS تلقائياً
  • يتم توفير شهادات SSL وتجديدها نيابةً عنك
  • ينطبق الأمر ذاته على الدومينات المخصصة بمجرد توجيه DNS بشكل صحيح

حافظ على تحديث التبعيات

  • اسأل الذكاء الاصطناعي بصفة دورية: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • راجع ما يُعدّله الذكاء الاصطناعي — فترقيات التبعيات قد تتضمن أحياناً تغييرات جذرية

أجرِ تدقيقاً بعد التغييرات الكبيرة

  • أعد تشغيل التدقيق بعد إضافة المصادقة، أو المدفوعات، أو رفع الملفات، أو أي شيء يمسّ بيانات المستخدم
  • قبل النشر في بيئة الإنتاج للمرة الأولى، أجرِ مسحاً شاملاً

ما تتولّاه Proyecta نيابةً عنك

Section titled “ما تتولّاه Proyecta نيابةً عنك”
  • HTTPS والشهادات لنطاقك الفرعي *.proyecta.live
  • متغيرات البيئة — تُخزَّن الأسرار في مخزن أسرار مخصص ويتم مزامنتها مع backend تطبيقك (Convex)، ولا تُدرج في قاعدة الكود الخاصة بك. ملاحظة: الأسرار مرئية لأعضاء مساحة العمل الذين لديهم صلاحية الوصول إلى المشروع.
  • بيئات تشغيل معزولة — يعمل كل مشروع في container خاص به، بحيث لا تؤثر مشكلات بيئة التطوير على المستخدمين الآخرين
  • شغّل تدقيقاً قبل أول نشر — يكشف المسح الشامل عن المشكلات قبل أن تنتقل إلى الإنتاج.
  • أعد التشغيل بعد التغييرات الكبيرة — إضافة المصادقة أو المدفوعات أو رفع الملفات يُوسّع من سطح الهجوم.
  • ضيّق النطاق — التدقيق على مناطق محددة أسرع وأكثر عمقاً من مسح التطبيق بأكمله.