Audit de Securitate
Cere AI-ului să îți revizuiască postura de securitate a aplicației, urmează bunele practici de mai jos și păstrează secretele în pagina Settings.
Securitatea în Proyecta este gestionată printr-o combinație de setări implicite ale platformei, revizuiri bazate pe AI și câteva obiceiuri pe care ar trebui să le dezvolți. Iată cum să gândești despre acest subiect.
Rulează un audit de securitate
Section titled “Rulează un audit de securitate”Deschide Command Palette (Cmd+K / Ctrl+K) și selectează Run Security Audit. Aceasta trimite un prompt de securitate complet AI-ului, care îți citește întreaga bază de cod și identifică vulnerabilitățile cu constatări prioritizate și remedieri specifice.
Auditul verifică:
- Chei API, token-uri sau parole hardcodate în fișierele sursă
- Variabile de mediu cu prefixul
VITE_care scurg secrete către client - Validare lipsă a datelor de intrare pe server la endpoint-urile API
- Pagini sau endpoint-uri API fără autentificare
- Conținut utilizator neescapat (riscuri XSS)
- Vulnerabilități ale dependențelor
- Conținut mixt sau URL-uri hardcodate cu
http:// - Validare lipsă a fișierelor încărcate
Poți rula un audit de securitate și manual din chat, sau îl poți restrânge la o zonă specifică:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
Bune practici de securitate
Section titled “Bune practici de securitate”Păstrează secretele în siguranță
- Stochează fiecare cheie API, credențial de bază de date și token de serviciu terț în secțiunea Variabile de Mediu din pagina Settings
- Nu lipi niciodată secrete în mesajele din chat și nu le comite în cod
- Dacă un secret este expus, revocă-l imediat la furnizorul terț și creează unul nou
Limitează accesul
- Implementează permisiuni bazate pe roluri în aplicația ta (
"Add admin and member roles. Only admins can access /admin pages.") - Restricționează paginile și endpoint-urile sensibile la utilizatorii autentificați
- Validează întotdeauna datele de intrare ale utilizatorilor pe server, nu doar pe client
Folosește HTTPS peste tot
- Toate aplicațiile Proyecta publicate sunt servite automat prin HTTPS
- Certificatele SSL sunt provisionate și reînnoite pentru tine
- Pentru domenii personalizate, același lucru se aplică odată ce DNS-ul este configurat corect
Menține dependențele actualizate
- Întreabă AI-ul periodic:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - Revizuiește ce modifică AI-ul — upgrade-urile de dependențe includ uneori modificări incompatibile
Auditează după modificări majore
- Rulează din nou un audit după ce adaugi autentificare, plăți, încărcare de fișiere sau orice altceva care atinge datele utilizatorilor
- Înainte de a publica în producție pentru prima dată, efectuează o verificare completă
Ce gestionează Proyecta pentru tine
Section titled “Ce gestionează Proyecta pentru tine”- HTTPS și certificate pentru subdomeniul tău
*.proyecta.live - Variabile de mediu — secretele sunt stocate într-un magazin dedicat de secrete și sincronizate cu backend-ul aplicației tale (Convex), fără a fi comise niciodată în baza ta de cod. Notă: secretele sunt vizibile pentru membrii workspace-ului cu acces la proiect.
- Runtime-uri izolate — fiecare proiect rulează în propriul container, astfel încât problemele din mediul de development nu afectează alți utilizatori
Sfaturi
Section titled “Sfaturi”- Rulează un audit înainte de primul publish — o verificare completă identifică problemele înainte ca acestea să fie expuse live.
- Rulează din nou după modificări majore — adăugarea de autentificare, plăți sau încărcare de fișiere introduce noi suprafețe de atac.
- Restrânge domeniul — auditurile pe zone specifice sunt mai rapide și mai amănunțite decât cele la nivelul întregii aplicații.