権限の高いキーがフロントエンドに存在
service-role と secret キーは RLS を迂回するため、ブラウザへ配信してはいけません。
Supabase セキュリティ確認
公開クライアントキーと権限の高い秘密鍵を区別し、プロジェクトを確認できる場合に限定的な読み取り専用プローブを実行します。
ポリシー、ストレージ、認証、環境を変更した後や、実データ公開前に実行してください。
所有している、または明示的な許可を得たシステムのみをスキャンしてください。詳細エンジンには確認済みの許可が必要で、対象によっては利用できません。
レポート構成例
これは説明用の検出例であり、お客様のアプリの結果ではありません。実際のレポートには、スキャナー、根拠の状態、対象ごとのカバレッジ制限が表示されます。
一般的なリスク経路
これは Supabase プロジェクトに関連するリスクパターンであり、すべてのプロジェクトに問題があるという意味ではありません。根拠が得られた場合のみ検出として表示します。
service-role と secret キーは RLS を迂回するため、ブラウザへ配信してはいけません。
未設定または広すぎるポリシーにより、公開APIからデータが露出します。
バケットやオブジェクトのポリシーにより、画面からリンクされていないファイルも露出します。
正直なカバレッジ
公開URL、接続済みソース、許可済み詳細エンジンはそれぞれ別の問いに答えます。BoringSec は根拠を分離し、部分的・ブロック・利用不可の状態を明示します。
公開メソドロジーを読む (英語)対応URLを検出し、公開キーと権限の高い形式を区別します。
上限付きの読み取りを行い、制限済み・脆弱・未確認・スキップを区別します。
オブジェクトの追加・変更・削除を行わず、限定的なバケット一覧動作を確認します。
アセット失敗、上限、拒否はカバレッジを下げ、合格には変換しません。
観測から検証まで
公開レスポンスを調べ、適用可能なバックグラウンドエンジンを開始します。
何を、どのスキャナーが、どの確度で観測したかを確認します。
Supabase RLS に関係する文脈と具体的な修正手順を使います。
新しい評価を実行し、その後のリグレッションは監視で検出します。
いいえ。公開クライアントキーは想定されたものです。RLS とストレージポリシーが境界です。
いいえ。プローブは限定的かつ読み取り専用で、行やオブジェクトの追加・変更・削除を行いません。
いいえ。観測できた経路のみです。認証ロールなどには許可された文脈が必要です。
いいえ。部分的、ブロック、利用不可のカバレッジは明示されます。
まず公開URLから開始し、必要な場合にのみソースや認証済みコンテキストを追加します。
セキュリティスキャンを開始