Güvenlik Denetimi
AI’dan uygulamanın güvenlik durumunu incelemesini iste, aşağıdaki en iyi uygulamaları takip et ve sırlarını Settings sayfasında sakla.
Proyecta’da güvenlik; platform varsayılanları, AI destekli incelemeler ve edinmen gereken birkaç alışkanlığın bir arada kullanılmasıyla sağlanır. İşte bu konuya nasıl yaklaşman gerektiği.
Güvenlik denetimi çalıştırma
Section titled “Güvenlik denetimi çalıştırma”Command Palette’i (Cmd+K / Ctrl+K) aç ve Run Security Audit’i seç. Bu, AI’ya kapsamlı bir güvenlik istemi gönderir; AI tüm kod tabanını okuyarak güvenlik açıklarını önceliklendirilmiş bulgular ve spesifik düzeltmelerle sunar.
Denetim şunları kontrol eder:
- Kaynak dosyalarda sabit kodlanmış API anahtarları, token’lar veya parolalar
- Sırları istemciye sızdıran
VITE_önekli ortam değişkenleri - API endpoint’lerinde eksik sunucu tarafı girdi doğrulaması
- Kimlik doğrulaması eksik sayfalar veya API endpoint’leri
- Kaçırılmamış kullanıcı içeriği (XSS riskleri)
- Bağımlılık güvenlik açıkları
- Karma içerik veya sabit kodlanmış
http://URL’leri - Eksik dosya yükleme doğrulaması
Güvenlik denetimini sohbet üzerinden manuel olarak da çalıştırabilir ya da belirli bir alanla sınırlı tutabilirsin:
"Review my checkout flow for security issues""Check the admin pages — who can access what?""Look at every endpoint that writes to the database and tell me if any of them are missing authorization"
Güvenlik en iyi uygulamaları
Section titled “Güvenlik en iyi uygulamaları”Sırları güvende tut
- Her API anahtarını, veritabanı kimlik bilgisini ve üçüncü taraf token’ını Settings sayfasının Environment Variables bölümünde sakla
- Sırları sohbet mesajlarına yapıştırma veya koda commit etme
- Bir sır ifşa olursa, üçüncü taraf sağlayıcıda hemen iptal et ve yeni bir tane oluştur
Erişimi sınırla
- Uygulamanda rol tabanlı izinler uygula (
"Add admin and member roles. Only admins can access /admin pages.") - Hassas sayfaları ve endpoint’leri yalnızca kimliği doğrulanmış kullanıcılarla sınırla
- Kullanıcı girdisini her zaman sunucu tarafında doğrula, yalnızca istemcide değil
Her yerde HTTPS kullan
- Yayımlanan tüm Proyecta uygulamaları otomatik olarak HTTPS üzerinden sunulur
- SSL sertifikaları senin için temin edilir ve yenilenir
- Özel domain’ler için DNS doğru şekilde yönlendirildikten sonra aynısı geçerli olur
Bağımlılıkları güncel tut
- AI’ya periyodik olarak şunu sor:
"Check my dependencies for known security vulnerabilities and upgrade the vulnerable ones." - AI’nın yaptığı değişiklikleri gözden geçir — bağımlılık güncellemeleri zaman zaman kırıcı değişiklikler içerebilir
Büyük değişikliklerden sonra denetim yap
- Kimlik doğrulama, ödeme, dosya yükleme veya kullanıcı verilerine dokunan herhangi bir şey ekledikten sonra denetimi yeniden çalıştır
- Üretim ortamına ilk kez yayımlamadan önce temiz bir tarama yap
Proyecta’nın senin için hallettiği şeyler
Section titled “Proyecta’nın senin için hallettiği şeyler”*.proyecta.livealt domain’in için HTTPS ve sertifikalar- Environment variables — sırlar, özel bir sırlar deposunda saklanır ve uygulamanın backend’ine (Convex) senkronize edilir; kod tabanına hiçbir zaman commit edilmez. Not: sırlar, proje erişimine sahip çalışma alanı üyeleri tarafından görülebilir.
- İzole runtime’lar — her proje kendi container’ında çalışır, bu sayede geliştirme ortamındaki sorunlar diğer kullanıcıları etkilemez
İpuçları
Section titled “İpuçları”- İlk yayımlamadan önce denetim çalıştır — temiz bir tarama, sorunları canlıya geçmeden yakalar.
- Büyük değişikliklerden sonra yeniden çalıştır — kimlik doğrulama, ödeme veya dosya yükleme eklemek yeni saldırı yüzeyleri oluşturur.
- Kapsamı daralt — belirli alanlara yönelik denetimler, tüm uygulama taramalarından daha hızlı ve daha kapsamlıdır.