Audyt bezpieczeństwa
Poproś AI o przegląd stanu bezpieczeństwa swojej aplikacji, stosuj poniższe najlepsze praktyki i przechowuj sekrety na stronie Settings.
Bezpieczeństwo w Proyecta opiera się na kombinacji domyślnych ustawień platformy, przeglądów prowadzonych przez AI oraz kilku nawyków, które warto wyrobić. Oto jak do tego podejść.
Uruchamianie audytu bezpieczeństwa
Dział zatytułowany „Uruchamianie audytu bezpieczeństwa”Otwórz Command Palette (Cmd+K / Ctrl+K) i wybierz Run Security Audit. Spowoduje to wysłanie do AI kompleksowego zapytania dotyczącego bezpieczeństwa — AI przeanalizuje całą Twoją bazę kodu i wskaże podatności wraz z priorytetyzowanymi wynikami oraz konkretnymi poprawkami.
Audyt sprawdza m.in.:
- Zakodowane na stałe klucze API, tokeny lub hasła w plikach źródłowych
- Zmienne środowiskowe z prefiksem
VITE_, które ujawniają sekrety po stronie klienta - Brak walidacji danych wejściowych po stronie serwera na endpointach API
- Strony lub endpointy API bez uwierzytelniania
- Niezescapowane treści użytkownika (ryzyko XSS)
- Podatności zależności
- Mieszaną zawartość lub zakodowane na stałe adresy
http:// - Brak walidacji przesyłanych plików
Audyt bezpieczeństwa możesz również uruchomić ręcznie z poziomu chatu lub zawęzić jego zakres do konkretnego obszaru:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
Najlepsze praktyki bezpieczeństwa
Dział zatytułowany „Najlepsze praktyki bezpieczeństwa”Chroń sekrety
- Przechowuj każdy klucz API, poświadczenia bazy danych i tokeny zewnętrznych usług w sekcji Zmienne środowiskowe na stronie Settings
- Nigdy nie wklejaj sekretów do wiadomości w chacie ani nie commituj ich do kodu
- Jeśli sekret zostanie ujawniony, natychmiast unieważnij go u zewnętrznego dostawcy i utwórz nowy
Ogranicz dostęp
- Zaimplementuj w swojej aplikacji uprawnienia oparte na rolach (
"Add admin and member roles. Only admins can access /admin pages.") - Ogranicz dostęp do wrażliwych stron i endpointów wyłącznie do uwierzytelnionych użytkowników
- Zawsze waliduj dane wejściowe użytkownika po stronie serwera — nigdy wyłącznie po stronie klienta
Używaj HTTPS wszędzie
- Wszystkie opublikowane aplikacje Proyecta są automatycznie serwowane przez HTTPS
- Certyfikaty SSL są automatycznie wystawiane i odnawiane
- W przypadku własnych domen działa to tak samo, gdy DNS zostanie poprawnie skonfigurowany
Aktualizuj zależności
- Regularnie pytaj AI:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - Przeglądaj zmiany wprowadzane przez AI — aktualizacje zależności mogą czasem zawierać zmiany powodujące niezgodność wsteczną
Przeprowadzaj audyt po większych zmianach
- Uruchom audyt ponownie po dodaniu uwierzytelniania, płatności, przesyłania plików lub czegokolwiek, co dotyka danych użytkowników
- Przed pierwszym opublikowaniem na produkcji wykonaj dokładny przegląd całości
Co Proyecta obsługuje za Ciebie
Dział zatytułowany „Co Proyecta obsługuje za Ciebie”- HTTPS i certyfikaty dla Twojej subdomeny
*.proyecta.live - Zmienne środowiskowe — sekrety są przechowywane w dedykowanym magazynie sekretów i synchronizowane z backendem Twojej aplikacji (Convex), nigdy nie są commitowane do bazy kodu. Uwaga: sekrety są widoczne dla członków workspace’u z dostępem do projektu.
- Izolowane środowiska uruchomieniowe — każdy projekt działa we własnym kontenerze, dzięki czemu problemy w środowisku deweloperskim nie wpływają na innych użytkowników
Wskazówki
Dział zatytułowany „Wskazówki”- Uruchom audyt przed pierwszą publikacją — dokładny przegląd pozwala wykryć problemy zanim trafią na produkcję.
- Uruchamiaj go ponownie po większych zmianach — dodanie uwierzytelniania, płatności lub przesyłania plików wprowadza nowe potencjalne wektory ataku.
- Zawężaj zakres — audyty dotyczące konkretnych obszarów są szybsze i dokładniejsze niż przegląd całej aplikacji.