Hoppa till innehåll

Säkerhetsgranskning

Be AI:n granska din apps säkerhetsstatus, följ bästa praxis nedan och förvara hemligheter på sidan Settings.

Säkerhet i Proyecta hanteras genom en kombination av plattformens standardinställningar, AI-drivna granskningar och några vanor du bör bygga upp. Så här kan du tänka kring det.

Öppna Command Palette (Cmd+K / Ctrl+K) och välj Run Security Audit. Det skickar en omfattande säkerhetsprompt till AI:n, som läser igenom hela din kodbas och lyfter fram sårbarheter med prioriterade fynd och konkreta åtgärder.

Granskningen kontrollerar efter:

  • Hårdkodade API-nycklar, tokens eller lösenord i källkodsfiler
  • VITE_-prefixade miljövariabler som läcker hemligheter till klienten
  • Saknad serversidig indatavalidering på API-endpoints
  • Sidor eller API-endpoints som saknar autentisering
  • Onescapad användardata (XSS-risker)
  • Sårbarheter i beroenden
  • Blandat innehåll eller hårdkodade http://-URL:er
  • Saknad validering av filuppladdningar

Du kan också köra en säkerhetsgranskning manuellt från chatten, eller begränsa den till ett specifikt område:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

Håll hemligheter säkra

  • Spara alla API-nycklar, databasuppgifter och tredjepartstoken i avsnittet Miljövariabler på sidan Settings
  • Klistra aldrig in hemligheter i chattmeddelanden eller commita dem i koden
  • Om en hemlighet exponeras, återkalla den hos tredjepartsleverantören omedelbart och skapa en ny

Begränsa åtkomst

  • Implementera rollbaserade behörigheter i din app ("Add admin and member roles. Only admins can access /admin pages.")
  • Begränsa känsliga sidor och endpoints till autentiserade användare
  • Validera alltid användardata på serversidan, aldrig enbart på klienten

Använd HTTPS överallt

  • Alla publicerade Proyecta-appar levereras automatiskt över HTTPS
  • SSL-certifikat tillhandahålls och förnyas åt dig
  • För egna domäner gäller samma sak så snart DNS är korrekt konfigurerat

Håll beroenden uppdaterade

  • Be AI:n periodvis: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • Granska vad AI:n ändrar — uppgraderingar av beroenden innehåller ibland brytande förändringar

Granska efter stora ändringar

  • Kör en ny granskning efter att du lagt till autentisering, betalningar, filuppladdningar eller något annat som rör användardata
  • Gör en ordentlig genomgång innan du publicerar till produktion för första gången
  • HTTPS och certifikat för din *.proyecta.live-subdomän
  • Miljövariabler — hemligheter lagras i ett dedikerat secrets store och synkroniseras till din apps backend (Convex), commitas aldrig till din kodbas. Observera: hemligheter är synliga för arbetsytans medlemmar med projektåtkomst.
  • Isolerade körmiljöer — varje projekt körs i sin egen container, så problem i utvecklingsmiljön påverkar inte andra användare
  • Kör en granskning innan din första publicering — en ordentlig genomgång fångar upp problem innan de går live.
  • Kör igen efter stora ändringar — att lägga till autentisering, betalningar eller filuppladdningar introducerar ny attackyta.
  • Begränsa omfattningen — granskningar av specifika områden är snabbare och mer grundliga än genomsökningar av hela appen.