Lista kontrolna bezpieczeństwa dla Vibe Coding
AI umożliwia osobom bez wykształcenia technicznego budowanie oprogramowania. Widziałem badaczkę, która użyła Claude, aby ożywić martwą platformę. Zredukowała koszty i poprawiła wydajność, nie będąc zawodowym programistą.
To niesamowite. Ale to także ryzykowne.
Vibe coding oznacza budowanie oprogramowania przy intensywnej pomocy AI, bez biegłości w samym kodzie czy architekturze. Jeśli wdrażasz kod na produkcję, jesteś programistą. To oznacza, że ponosisz za niego odpowiedzialność.
Vibe coding osobistego bloga jest w porządku. Vibe coding systemu z płatnościami, logowaniem i danymi użytkowników to już inna sprawa. AI potrafi pisać świetny kod, ale może też tworzyć niebezpieczne luki w zabezpieczeniach.
Jeśli używasz AI do zarządzania projektem internetowym, nie proś jej tylko o to, aby „wszystko działało”. Wykorzystaj ją do wykrywania ryzyk. Użyj poniższych pytań, aby przeprowadzić audyt projektu przed jego uruchomieniem:
- Zmapuj obszary wrażliwe: Gdzie znajdują się dane logowania, płatności i dane osobowe?
- Sprawdź wycieki sekretów: Czy Twoje klucze Stripe, hasła lub dane uwierzytelniające do bazy danych są widoczne w kodzie lub frontendzie?
- Przejrzyj zależności: Czy Twoje biblioteki są przestarzałe lub pełne znanych podatności?
- Przejrzyj uwierzytelnianie: W jaki sposób użytkownicy się logują? Czy sesje i pliki cookie są poprawnie skonfigurowane?
- Sprawdź autoryzację: Czy zwykły użytkownik może uzyskać dostęp do danych administratora, zmieniając jedynie ID w adresie URL?
- Zabezpiecz funkcje administracyjne: Czy panel administratora jest ukryty tylko w interfejsie użytkownika, czy jest blokowany na poziomie serwera?
- Zweryfikuj płatności: Czy Twój serwer potwierdza płatności za pomocą webhooków, czy po prostu ufa frontendowi?
- Przetestuj webhooki: Czy ktoś może sfałszować powiadomienie o płatności w Twoim systemie?
- Waliduj wszystkie dane wejściowe: Czy Twoje formularze i paski wyszukiwania chronią przed atakami typu injection?
- Ogranicz użycie: Czy boty mogą spamować narzędzia logowania lub wyszukiwania, zwiększając Twoje koszty?
- Monitoruj logi błędów: Czy komunikaty o błędach nie ujawniają użytkownikom szczegółów bazy danych lub haseł?
- Zabezpiecz przesyłanie plików: Czy ograniczasz typy i rozmiary plików, aby zapobiec atakom?
- Porównaj środowiska: Czy przez przypadek nie używasz kluczy testowych lub trybów debugowania na produkcji?
- Stwórz proste testy: Czy potrafisz udowodnić, że użytkownik nie może uzyskać dostępu do danych innej osoby?
- Pytaj o niepewność: Zapytaj AI: „Jakich ryzyk związanych z bezpieczeństwem NIE możesz zweryfikować?”.
Nie pytaj AI, czy Twój projekt jest bezpieczny. Poproś ją, aby wskazała Ci, gdzie leży niepewność.
Jeśli Twój projekt wpływa na prawdziwych ludzi lub realne pieniądze, skorzystaj z profesjonalnej pomocy. Wykorzystuj AI do zadawania lepszych pytań, a nie do zastępowania ludzkiego nadzoru.
Źródło: https://dev.to/marciofrayze/15-perguntas-de-seguranca-para-quem-esta-praticando-vibe-coding-1h7j