Przejdź do głównej zawartości

Audyt bezpieczeństwa

Poproś AI o przegląd stanu bezpieczeństwa swojej aplikacji, stosuj poniższe najlepsze praktyki i przechowuj sekrety na stronie Settings.

Bezpieczeństwo w Proyecta opiera się na kombinacji domyślnych ustawień platformy, przeglądów prowadzonych przez AI oraz kilku nawyków, które warto wyrobić. Oto jak do tego podejść.

Otwórz Command Palette (Cmd+K / Ctrl+K) i wybierz Run Security Audit. Spowoduje to wysłanie do AI kompleksowego zapytania dotyczącego bezpieczeństwa — AI przeanalizuje całą Twoją bazę kodu i wskaże podatności wraz z priorytetyzowanymi wynikami oraz konkretnymi poprawkami.

Audyt sprawdza m.in.:

  • Zakodowane na stałe klucze API, tokeny lub hasła w plikach źródłowych
  • Zmienne środowiskowe z prefiksem VITE_, które ujawniają sekrety po stronie klienta
  • Brak walidacji danych wejściowych po stronie serwera na endpointach API
  • Strony lub endpointy API bez uwierzytelniania
  • Niezescapowane treści użytkownika (ryzyko XSS)
  • Podatności zależności
  • Mieszaną zawartość lub zakodowane na stałe adresy http://
  • Brak walidacji przesyłanych plików

Audyt bezpieczeństwa możesz również uruchomić ręcznie z poziomu chatu lub zawęzić jego zakres do konkretnego obszaru:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

Chroń sekrety

  • Przechowuj każdy klucz API, poświadczenia bazy danych i tokeny zewnętrznych usług w sekcji Zmienne środowiskowe na stronie Settings
  • Nigdy nie wklejaj sekretów do wiadomości w chacie ani nie commituj ich do kodu
  • Jeśli sekret zostanie ujawniony, natychmiast unieważnij go u zewnętrznego dostawcy i utwórz nowy

Ogranicz dostęp

  • Zaimplementuj w swojej aplikacji uprawnienia oparte na rolach ("Add admin and member roles. Only admins can access /admin pages.")
  • Ogranicz dostęp do wrażliwych stron i endpointów wyłącznie do uwierzytelnionych użytkowników
  • Zawsze waliduj dane wejściowe użytkownika po stronie serwera — nigdy wyłącznie po stronie klienta

Używaj HTTPS wszędzie

  • Wszystkie opublikowane aplikacje Proyecta są automatycznie serwowane przez HTTPS
  • Certyfikaty SSL są automatycznie wystawiane i odnawiane
  • W przypadku własnych domen działa to tak samo, gdy DNS zostanie poprawnie skonfigurowany

Aktualizuj zależności

  • Regularnie pytaj AI: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • Przeglądaj zmiany wprowadzane przez AI — aktualizacje zależności mogą czasem zawierać zmiany powodujące niezgodność wsteczną

Przeprowadzaj audyt po większych zmianach

  • Uruchom audyt ponownie po dodaniu uwierzytelniania, płatności, przesyłania plików lub czegokolwiek, co dotyka danych użytkowników
  • Przed pierwszym opublikowaniem na produkcji wykonaj dokładny przegląd całości
  • HTTPS i certyfikaty dla Twojej subdomeny *.proyecta.live
  • Zmienne środowiskowe — sekrety są przechowywane w dedykowanym magazynie sekretów i synchronizowane z backendem Twojej aplikacji (Convex), nigdy nie są commitowane do bazy kodu. Uwaga: sekrety są widoczne dla członków workspace’u z dostępem do projektu.
  • Izolowane środowiska uruchomieniowe — każdy projekt działa we własnym kontenerze, dzięki czemu problemy w środowisku deweloperskim nie wpływają na innych użytkowników
  • Uruchom audyt przed pierwszą publikacją — dokładny przegląd pozwala wykryć problemy zanim trafią na produkcję.
  • Uruchamiaj go ponownie po większych zmianach — dodanie uwierzytelniania, płatności lub przesyłania plików wprowadza nowe potencjalne wektory ataku.
  • Zawężaj zakres — audyty dotyczące konkretnych obszarów są szybsze i dokładniejsze niż przegląd całej aplikacji.