צ'קליסט אבטחה ל-Vibe Coding
AI מאפשר לאנשים ללא רקע טכני לבנות תוכנה. ראיתי חוקרת שהשתמשה ב-Claude כדי להחיות פלטפורמה מתה. היא הפחיתה עלויות ושיפרה ביצועים מבלי להיות מפתחת מקצועית.
זה מדהים. זה גם מסוכן.
Vibe coding פירושו בניית תוכנה בעזרת סיוע רב של AI מבלי לשלוט בקוד או בארכיטקטורה שבבסיסו. אם אתם מריצים קוד בסביבת ייצור (production), אתם מפתחים. זה אומר שאתם נושאים באחריות.
Vibe coding לבלוג אישי זה בסדר. Vibe coding למערכת הכוללת תשלומים, התחברויות ונתוני משתמשים הוא עניין אחר. AI יכול לכתוב קוד מצוין, אך הוא יכול גם לכתוב פרצות אבטחה מסוכנות.
אם אתם משתמשים ב-AI לניהול פרויקט ווב, אל תבקשו ממנו רק לגרום לדברים לעבוד. השתמשו בו כדי למצוא סיכונים. השתמשו בשאלות הבאות כדי לבצע ביקורת (audit) לפרויקט שלכם לפני העלייה לאוויר:
- מיפוי אזורים רגישים: איפה נמצאים ההתחברויות, התשלומים והנתונים האישיים?
- בדיקת סודות חשופים: האם מפתחות ה-Stripe, הסיסמאות או פרטי הגישה למסד הנתונים שלכם גלויים בקוד או ב-frontend?
- ביקורת תלויות (dependencies): האם הספריות שלכם מיושנות או מלאות בפרצות אבטחה ידועות?
- סקירת אימות (authentication): איך משתמשים מתחברים? האם ה-sessions וה-cookies מוגדרים כראוי?
- בדיקת הרשאות (authorization): האם משתמש רגיל יכול לגשת לנתוני מנהל (admin) רק על ידי שינוי מזהה (ID) ב-URL?
- הגנה על פונקציות מנהל: האם פאנל הניהול מוסתר רק ברמת ממשק המשתמש (UI), או שהוא חסום ברמת השרת?
- אימות תשלומים: האם השרת שלכם מאשר תשלומים באמצעות webhooks, או שהוא פשוט סומך על ה-frontend?
- בדיקת webhooks: האם מישהו יכול לזייף התראת תשלום למערכת שלכם?
- אימות כל הקלטים (inputs): האם הטפסים ושורות החיפוש שלכם מגינים מפני מתקפות הזרקה (injection attacks)?
אם הפרויקט שלך משפיע על אנשים אמיתיים או על כסף אמיתי, פנה לעזרה מקצועית. השתמש בבינה מלאכותית כדי לשאול שאלות טובות יותר, לא כדי להחליף פיקוח אנושי.
מקור: https://dev.to/marciofrayze/15-perguntas-de-seguranca-para-quem-esta-praticando-vibe-coding-1h7j