ביקורת אבטחה
בקש מה-AI לבחון את מצב האבטחה של האפליקציה שלך, פעל לפי שיטות העבודה המומלצות להלן, ושמור סודות בדף Settings.
האבטחה ב-Proyecta מתבססת על שילוב של ברירות מחדל של הפלטפורמה, ביקורות מונחות-AI, וכמה הרגלים שכדאי לאמץ. כך כדאי לחשוב על הנושא.
הפעלת ביקורת אבטחה
Section titled “הפעלת ביקורת אבטחה”פתח את Command Palette (Cmd+K / Ctrl+K) ובחר Run Security Audit. פעולה זו שולחת פרומפט אבטחה מקיף ל-AI, אשר קורא את כל קוד המקור שלך ומציג פרצות עם סדר עדיפויות וממצאים ספציפיים לתיקון.
הביקורת בודקת:
- מפתחות API, טוקנים או סיסמאות מוטמעים בקבצי המקור
- משתני סביבה עם הקידומת
VITE_שמדליפים סודות לצד הלקוח - היעדר ולידציית קלט בצד השרת על endpoints של ה-API
- דפים או endpoints של API שחסרה בהם אימות זהות
- תוכן משתמש שאינו מוסתר (סיכוני XSS)
- פרצות בתלויות
- תוכן מעורב או כתובות
http://מוטמעות - היעדר ולידציה להעלאת קבצים
ניתן גם להפעיל ביקורת אבטחה ידנית מהצ’אט, או לצמצם אותה לתחום ספציפי:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
שיטות עבודה מומלצות לאבטחה
Section titled “שיטות עבודה מומלצות לאבטחה”שמירה על אבטחת סודות
- אחסן כל מפתח API, אישורי מסד נתונים וטוקן של צד שלישי בקטע Environment Variables בדף Settings
- לעולם אל תדביק סודות בהודעות צ’אט או תכניס אותם לקוד
- אם סוד נחשף, בטל אותו אצל הספק של הצד השלישי מיד וצור חדש
הגבלת גישה
- הטמע הרשאות מבוססות-תפקידים באפליקציה שלך (
"Add admin and member roles. Only admins can access /admin pages.") - הגבל דפים ו-endpoints רגישים למשתמשים מאומתים בלבד
- תמיד בצע ולידציה של קלט משתמש בצד השרת, לא רק בצד הלקוח
שימוש ב-HTTPS בכל מקום
- כל האפליקציות שפורסמו ב-Proyecta מוגשות דרך HTTPS באופן אוטומטי
- אישורי SSL מוקצים ומחודשים עבורך
- לדומיינים מותאמים אישית, אותו הדבר חל ברגע שה-DNS מוגדר כראוי
עדכון תלויות
- שאל את ה-AI מדי פעם:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - עיין בשינויים שה-AI מבצע — עדכוני תלויות כוללים לעיתים שינויים שוברים
ביקורת לאחר שינויים גדולים
- הפעל מחדש ביקורת לאחר הוספת אימות זהות, תשלומים, העלאת קבצים, או כל דבר שנוגע בנתוני משתמשים
- לפני פרסום לסביבת הייצור בפעם הראשונה, בצע סריקה מלאה
מה Proyecta מטפל עבורך
Section titled “מה Proyecta מטפל עבורך”- HTTPS ואישורים עבור ה-subdomain
*.proyecta.liveשלך - משתני סביבה — סודות מאוחסנים במאגר סודות ייעודי ומסונכרנים ל-backend של האפליקציה שלך (Convex), ולעולם אינם נכנסים לקוד. שים לב: סודות גלויים לחברי workspace בעלי גישה לפרויקט.
- סביבות ריצה מבודדות — כל פרויקט רץ במיכל משלו, כך שבעיות בסביבת הפיתוח אינן משפיעות על משתמשים אחרים
- הפעל ביקורת לפני הפרסום הראשון — סריקה מלאה תתפוס בעיות לפני שהן עולות לאוויר.
- הפעל מחדש לאחר שינויים גדולים — הוספת אימות, תשלומים או העלאת קבצים מוסיפה משטח תקיפה חדש.
- צמצם את ההיקף — ביקורות על תחומים ספציפיים מהירות ויסודיות יותר מסריקות של כל האפליקציה.