Chave privilegiada no frontend
Chaves service-role e secret ignoram RLS e nunca devem chegar ao navegador.
Verificações do Supabase
A BoringSec diferencia chaves públicas de segredos privilegiados e usa sondas limitadas de leitura quando o projeto e a chave pública são verificáveis.
Use após mudanças em políticas, armazenamento, autenticação ou ambiente e antes de expor dados reais.
Escaneie apenas sistemas próprios ou autorizados. Os mecanismos profundos exigem autorização verificada e podem não estar disponíveis para um alvo.
Estrutura de exemplo do relatório
Este achado é ilustrativo, não um resultado da sua aplicação. Relatórios reais mostram o scanner, o estado da evidência e os limites de cobertura do alvo.
Caminhos de risco comuns
São padrões relevantes para projetos Supabase, não afirmações sobre todos eles. Um achado só aparece quando o scanner fornece evidência.
Chaves service-role e secret ignoram RLS e nunca devem chegar ao navegador.
Políticas ausentes ou amplas podem expor dados pela API pública.
Políticas de buckets e objetos podem expor arquivos não vinculados.
Cobertura honesta
URL, código conectado e mecanismos profundos autorizados respondem perguntas diferentes. A BoringSec separa as fontes e mostra estados parciais, bloqueados e indisponíveis.
Ler a metodologia pública (em inglês)Detecta URLs suportadas e diferencia chaves públicas de formatos privilegiados.
Usa leituras com limite e relata resultados restritos, vulneráveis, não verificados ou ignorados.
Verifica listagens limitadas sem enviar, alterar ou excluir objetos.
Falhas, limites e rejeições reduzem a cobertura em vez de gerar aprovação.
Da observação à verificação
Inspecione a resposta pública e inicie os mecanismos de segundo plano aplicáveis.
Veja o que foi observado, por qual scanner e com qual confiança.
Use uma correção concreta e o contexto relevante para RLS do Supabase.
Execute uma nova avaliação; o monitoramento detecta regressões posteriores.
Não. Chaves públicas são esperadas; RLS e políticas de armazenamento são a fronteira.
Não. As sondas são limitadas e somente leitura; não inserem, atualizam ou excluem.
Não. Prova apenas caminhos observados; funções autenticadas exigem contexto autorizado.
Não. Cobertura parcial, bloqueada ou indisponível permanece visível.
Comece pela URL pública. Adicione código ou contexto autenticado apenas quando quiser ampliar a cobertura.
Iniciar varredura de segurança