İçeriğe geç

Güvenlik Denetimi

AI’dan uygulamanın güvenlik durumunu incelemesini iste, aşağıdaki en iyi uygulamaları takip et ve sırlarını Settings sayfasında sakla.

Proyecta’da güvenlik; platform varsayılanları, AI destekli incelemeler ve edinmen gereken birkaç alışkanlığın bir arada kullanılmasıyla sağlanır. İşte bu konuya nasıl yaklaşman gerektiği.

Command Palette’i (Cmd+K / Ctrl+K) aç ve Run Security Audit’i seç. Bu, AI’ya kapsamlı bir güvenlik istemi gönderir; AI tüm kod tabanını okuyarak güvenlik açıklarını önceliklendirilmiş bulgular ve spesifik düzeltmelerle sunar.

Denetim şunları kontrol eder:

  • Kaynak dosyalarda sabit kodlanmış API anahtarları, token’lar veya parolalar
  • Sırları istemciye sızdıran VITE_ önekli ortam değişkenleri
  • API endpoint’lerinde eksik sunucu tarafı girdi doğrulaması
  • Kimlik doğrulaması eksik sayfalar veya API endpoint’leri
  • Kaçırılmamış kullanıcı içeriği (XSS riskleri)
  • Bağımlılık güvenlik açıkları
  • Karma içerik veya sabit kodlanmış http:// URL’leri
  • Eksik dosya yükleme doğrulaması

Güvenlik denetimini sohbet üzerinden manuel olarak da çalıştırabilir ya da belirli bir alanla sınırlı tutabilirsin:

  • "Review my checkout flow for security issues"
  • "Check the admin pages — who can access what?"
  • "Look at every endpoint that writes to the database and tell me if any of them are missing authorization"

Sırları güvende tut

  • Her API anahtarını, veritabanı kimlik bilgisini ve üçüncü taraf token’ını Settings sayfasının Environment Variables bölümünde sakla
  • Sırları sohbet mesajlarına yapıştırma veya koda commit etme
  • Bir sır ifşa olursa, üçüncü taraf sağlayıcıda hemen iptal et ve yeni bir tane oluştur

Erişimi sınırla

  • Uygulamanda rol tabanlı izinler uygula ("Add admin and member roles. Only admins can access /admin pages.")
  • Hassas sayfaları ve endpoint’leri yalnızca kimliği doğrulanmış kullanıcılarla sınırla
  • Kullanıcı girdisini her zaman sunucu tarafında doğrula, yalnızca istemcide değil

Her yerde HTTPS kullan

  • Yayımlanan tüm Proyecta uygulamaları otomatik olarak HTTPS üzerinden sunulur
  • SSL sertifikaları senin için temin edilir ve yenilenir
  • Özel domain’ler için DNS doğru şekilde yönlendirildikten sonra aynısı geçerli olur

Bağımlılıkları güncel tut

  • AI’ya periyodik olarak şunu sor: "Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones."
  • AI’nın yaptığı değişiklikleri gözden geçir — bağımlılık güncellemeleri zaman zaman kırıcı değişiklikler içerebilir

Büyük değişikliklerden sonra denetim yap

  • Kimlik doğrulama, ödeme, dosya yükleme veya kullanıcı verilerine dokunan herhangi bir şey ekledikten sonra denetimi yeniden çalıştır
  • Üretim ortamına ilk kez yayımlamadan önce temiz bir tarama yap

Proyecta’nın senin için hallettiği şeyler

Section titled “Proyecta’nın senin için hallettiği şeyler”
  • *.proyecta.live alt domain’in için HTTPS ve sertifikalar
  • Environment variables — sırlar, özel bir sırlar deposunda saklanır ve uygulamanın backend’ine (Convex) senkronize edilir; kod tabanına hiçbir zaman commit edilmez. Not: sırlar, proje erişimine sahip çalışma alanı üyeleri tarafından görülebilir.
  • İzole runtime’lar — her proje kendi container’ında çalışır, bu sayede geliştirme ortamındaki sorunlar diğer kullanıcıları etkilemez
  • İlk yayımlamadan önce denetim çalıştır — temiz bir tarama, sorunları canlıya geçmeden yakalar.
  • Büyük değişikliklerden sonra yeniden çalıştır — kimlik doğrulama, ödeme veya dosya yükleme eklemek yeni saldırı yüzeyleri oluşturur.
  • Kapsamı daralt — belirli alanlara yönelik denetimler, tüm uygulama taramalarından daha hızlı ve daha kapsamlıdır.