Aller au contenu

Audit de sécurité

Demande à l’IA de passer en revue la posture de sécurité de ton application, suis les bonnes pratiques ci-dessous et conserve tes secrets dans la page Settings.

La sécurité dans Proyecta repose sur une combinaison de configurations par défaut de la plateforme, de revues assistées par l’IA et de quelques habitudes à adopter. Voici comment l’aborder.

Ouvre la Command Palette (Cmd+K / Ctrl+K) et sélectionne Run Security Audit. Cette action envoie un prompt de sécurité complet à l’IA, qui lit l’intégralité de ton code et remonte les vulnérabilités avec des résultats priorisés et des correctifs précis.

L’audit vérifie :

  • Les clés API, tokens ou mots de passe codés en dur dans les fichiers source
  • Les variables d’environnement préfixées VITE_ qui exposent des secrets côté client
  • L’absence de validation des entrées côté serveur sur les endpoints API
  • Les pages ou endpoints API sans authentification
  • Le contenu utilisateur non échappé (risques XSS)
  • Les vulnérabilités dans les dépendances
  • Les contenus mixtes ou les URLs http:// codées en dur
  • L’absence de validation lors des uploads de fichiers

Tu peux également lancer un audit de sécurité manuellement depuis le chat, ou le limiter à une zone spécifique :

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

Protège tes secrets

  • Stocke chaque clé API, identifiant de base de données et token tiers dans la section Variables d’environnement de la page Settings
  • Ne colle jamais de secrets dans les messages du chat et ne les commite pas dans le code
  • Si un secret est exposé, révoque-le immédiatement auprès du fournisseur tiers et crée-en un nouveau

Limite les accès

  • Implémente des permissions basées sur les rôles dans ton application ("Add admin and member roles. Only admins can access /admin pages.")
  • Restreins les pages et endpoints sensibles aux utilisateurs authentifiés
  • Valide toujours les entrées utilisateur côté serveur, jamais uniquement côté client

Utilise HTTPS partout

  • Toutes les applications Proyecta publiées sont servies automatiquement en HTTPS
  • Les certificats SSL sont provisionnés et renouvelés pour toi
  • Pour les domaines personnalisés, le même principe s’applique dès que le DNS est correctement configuré

Maintiens tes dépendances à jour

  • Demande périodiquement à l’IA : "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • Passe en revue les modifications apportées par l’IA — les mises à jour de dépendances incluent parfois des changements incompatibles

Effectue un audit après les grandes modifications

  • Relance un audit après avoir ajouté une authentification, des paiements, des uploads de fichiers ou tout ce qui touche aux données utilisateur
  • Avant de publier en production pour la première fois, fais un balayage complet
  • HTTPS et certificats pour ton sous-domaine *.proyecta.live
  • Variables d’environnement — les secrets sont stockés dans un store dédié et synchronisés avec le backend de ton application (Convex), sans jamais être commités dans ton code. Remarque : les secrets sont visibles par les membres de l’espace de travail ayant accès au projet.
  • Environnements isolés — chaque projet s’exécute dans son propre conteneur, de sorte que les problèmes d’environnement de développement n’affectent pas les autres utilisateurs
  • Lance un audit avant ta première publication — un balayage complet permet de détecter les problèmes avant qu’ils ne soient en ligne.
  • Relance un audit après les grandes modifications — l’ajout d’une authentification, de paiements ou d’uploads de fichiers introduit de nouvelles surfaces d’attaque.
  • Cible le périmètre — les audits sur des zones spécifiques sont plus rapides et plus approfondis que les balayages de l’application entière.