Lewati ke konten

Audit Keamanan

Minta AI untuk meninjau postur keamanan aplikasimu, ikuti praktik terbaik di bawah ini, dan simpan rahasia di halaman Settings.

Keamanan di Proyecta ditangani oleh kombinasi default platform, ulasan berbasis AI, dan beberapa kebiasaan yang perlu kamu bangun. Berikut cara memahaminya.

Buka Command Palette (Cmd+K / Ctrl+K) dan pilih Run Security Audit. Ini mengirimkan prompt keamanan yang komprehensif ke AI, yang membaca seluruh codebase-mu dan menampilkan kerentanan dengan temuan yang diprioritaskan beserta perbaikan spesifiknya.

Audit memeriksa hal-hal berikut:

  • API key, token, atau password yang di-hardcode dalam file sumber
  • Variabel environment dengan prefiks VITE_ yang membocorkan rahasia ke sisi klien
  • Validasi input di sisi server yang tidak ada pada API endpoint
  • Halaman atau API endpoint yang tidak memiliki autentikasi
  • Konten pengguna yang tidak di-escape (risiko XSS)
  • Kerentanan dependensi
  • Mixed content atau URL http:// yang di-hardcode
  • Validasi unggahan file yang tidak ada

Kamu juga bisa menjalankan audit keamanan secara manual dari chat, atau mempersempit cakupannya ke area tertentu:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

Jaga kerahasiaan secrets

  • Simpan setiap API key, kredensial database, dan token pihak ketiga di bagian Environment Variables pada halaman Settings
  • Jangan pernah menempelkan secrets ke dalam pesan chat atau melakukan commit ke kode
  • Jika sebuah secret terekspos, cabut aksesnya melalui penyedia pihak ketiga segera dan buat yang baru

Batasi akses

  • Terapkan izin berbasis peran dalam aplikasimu ("Add admin and member roles. Only admins can access /admin pages.")
  • Batasi halaman dan endpoint sensitif hanya untuk pengguna yang terautentikasi
  • Selalu validasi input pengguna di sisi server, bukan hanya di sisi klien

Gunakan HTTPS di mana saja

  • Semua aplikasi Proyecta yang dipublikasikan disajikan melalui HTTPS secara otomatis
  • Sertifikat SSL disediakan dan diperbarui untukmu
  • Untuk custom domain, hal yang sama berlaku setelah DNS diarahkan dengan benar

Perbarui dependensi secara rutin

  • Tanya AI secara berkala: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • Tinjau perubahan yang dilakukan AI — pembaruan dependensi terkadang mencakup breaking changes

Lakukan audit setelah perubahan besar

  • Jalankan ulang audit setelah menambahkan autentikasi, pembayaran, unggahan file, atau hal apa pun yang menyentuh data pengguna
  • Sebelum mempublikasikan ke production untuk pertama kalinya, lakukan pemeriksaan menyeluruh
  • HTTPS dan sertifikat untuk subdomain *.proyecta.live-mu
  • Environment variables — secrets disimpan di secrets store khusus dan disinkronkan ke backend aplikasimu (Convex), tidak pernah di-commit ke codebase-mu. Catatan: secrets dapat dilihat oleh anggota workspace yang memiliki akses ke proyek.
  • Runtime yang terisolasi — setiap proyek berjalan di container-nya sendiri, sehingga masalah di dev environment tidak memengaruhi pengguna lain
  • Jalankan audit sebelum publish pertama kali — pemeriksaan menyeluruh menangkap masalah sebelum tayang ke publik.
  • Jalankan ulang setelah perubahan besar — menambahkan autentikasi, pembayaran, atau unggahan file memperkenalkan permukaan serangan baru.
  • Persempit cakupan — audit pada area tertentu lebih cepat dan lebih menyeluruh dibanding pemindaian seluruh aplikasi.