Säkerhetsgranskning
Be AI:n granska din apps säkerhetsstatus, följ bästa praxis nedan och förvara hemligheter på sidan Settings.
Säkerhet i Proyecta hanteras genom en kombination av plattformens standardinställningar, AI-drivna granskningar och några vanor du bör bygga upp. Så här kan du tänka kring det.
Kör en säkerhetsgranskning
Section titled “Kör en säkerhetsgranskning”Öppna Command Palette (Cmd+K / Ctrl+K) och välj Run Security Audit. Det skickar en omfattande säkerhetsprompt till AI:n, som läser igenom hela din kodbas och lyfter fram sårbarheter med prioriterade fynd och konkreta åtgärder.
Granskningen kontrollerar efter:
- Hårdkodade API-nycklar, tokens eller lösenord i källkodsfiler
VITE_-prefixade miljövariabler som läcker hemligheter till klienten- Saknad serversidig indatavalidering på API-endpoints
- Sidor eller API-endpoints som saknar autentisering
- Onescapad användardata (XSS-risker)
- Sårbarheter i beroenden
- Blandat innehåll eller hårdkodade
http://-URL:er - Saknad validering av filuppladdningar
Du kan också köra en säkerhetsgranskning manuellt från chatten, eller begränsa den till ett specifikt område:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
Bästa praxis för säkerhet
Section titled “Bästa praxis för säkerhet”Håll hemligheter säkra
- Spara alla API-nycklar, databasuppgifter och tredjepartstoken i avsnittet Miljövariabler på sidan Settings
- Klistra aldrig in hemligheter i chattmeddelanden eller commita dem i koden
- Om en hemlighet exponeras, återkalla den hos tredjepartsleverantören omedelbart och skapa en ny
Begränsa åtkomst
- Implementera rollbaserade behörigheter i din app (
"Add admin and member roles. Only admins can access /admin pages.") - Begränsa känsliga sidor och endpoints till autentiserade användare
- Validera alltid användardata på serversidan, aldrig enbart på klienten
Använd HTTPS överallt
- Alla publicerade Proyecta-appar levereras automatiskt över HTTPS
- SSL-certifikat tillhandahålls och förnyas åt dig
- För egna domäner gäller samma sak så snart DNS är korrekt konfigurerat
Håll beroenden uppdaterade
- Be AI:n periodvis:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - Granska vad AI:n ändrar — uppgraderingar av beroenden innehåller ibland brytande förändringar
Granska efter stora ändringar
- Kör en ny granskning efter att du lagt till autentisering, betalningar, filuppladdningar eller något annat som rör användardata
- Gör en ordentlig genomgång innan du publicerar till produktion för första gången
Vad Proyecta hanterar åt dig
Section titled “Vad Proyecta hanterar åt dig”- HTTPS och certifikat för din
*.proyecta.live-subdomän - Miljövariabler — hemligheter lagras i ett dedikerat secrets store och synkroniseras till din apps backend (Convex), commitas aldrig till din kodbas. Observera: hemligheter är synliga för arbetsytans medlemmar med projektåtkomst.
- Isolerade körmiljöer — varje projekt körs i sin egen container, så problem i utvecklingsmiljön påverkar inte andra användare
- Kör en granskning innan din första publicering — en ordentlig genomgång fångar upp problem innan de går live.
- Kör igen efter stora ändringar — att lägga till autentisering, betalningar eller filuppladdningar introducerar ny attackyta.
- Begränsa omfattningen — granskningar av specifika områden är snabbare och mer grundliga än genomsökningar av hela appen.