Аудит безопасности и готовности веб-платформы перед запуском

Добрый день! Аудит безопасности перед запуском — это наша специализация (ведем security-практику GuardLabs: мониторинг, выявление утечек доступа, hardening). Разберу по вашему стеку конкретно.

Блок 1 — безопасность (ключевое для Supabase):
- RLS — приоритет №1. Проверю КАЖДУЮ таблицу: сможет ли пользователь получить доступ к чужим строкам напрямую через PostgREST/REST API в обход интерфейса (слабая политика = клиент читает чужие данные мимо UI). Тесты под разными ролями/аккаунтами.
- Ключи: на фронтенде должен быть ТОЛЬКО anon key, service_role — никогда. Проверю JS-бандл на утечку секретов.
- Auth: регистрация, верификация email, сброс пароля, время жизни и инвалидизация сессий, защита от перебора.
- XSS / инъекции / валидация; CORS; заголовки CSP / HSTS / X-Frame; TLS; rate limiting на чувствительных эндпоинтах.
- GDPR: корректное удаление аккаунта и всех данных (без остатков «soft-delete»).

… Блок 2 — готовность: Lighthouse/PageSpeed с конкретными причинами и фиксациями; мобильная адаптивность + кроссбраузерность; формы, битые ссылки, 404; базовое SEO (meta/robots.txt/sitemap); корректность аналитики; бэкапы + мониторинг доступности.

Результат: структурированный отчет critical / high / medium / low — по каждой: суть → чем угрожает → как исправить (с примером). Плюс короткий executive-summary с топ-рисками.

Наш опыт: ежедневно работаем с Supabase/PostgreSQL+RLS, security-заголовками (CSP/HSTS), GDPR-удалением и мониторингом доступности — это практика GuardLabs. Публичные материалы покажу по запросу.

Уточню: 1) сколько таблиц в Supabase и сколько калькуляторов? 2) сколько ролей пользователей? 3) отчет удобнее Markdown / PDF / таблица?

Ориентировочно: €180, 4–5 дней после доступа к тестовой копии и тестовым аккаунтам. При необходимости — отдельно помогу устранить critical/high после отчета.

Показать оригинал

Перевести

Добрый день. Задание понял: внешний аудит онлайн-сервиса перед публичным запуском, где есть регистрация, личные кабинеты и калькуляторы, и хранятся персональные данные. Стек статический фронтенд плюс Supabase с PostgreSQL, RLS и Auth, VPS на Apache с HTTPS, сторонняя email-рассылка и веб-аналитика. Нужны два блока, безопасность и готовность к запуску, на выходе структурированный отчет по уровням критичности с рекомендациями.

По безопасности пройду именно те точки, что вы перечислили. По Supabase главное это RLS-политики: проверю каждую таблицу на то, не достанет ли пользователь чужие строки через прямые запросы к PostgREST, потому что при слабых политиках клиент читает данные мимо интерфейса. Отдельно посмотрю, не светятся ли служебные ключи во фронтенде (должен быть только anon key, никогда service_role), валидацию ввода против XSS и инъекций, весь флоу аутентификации (регистрация, верификация почты, сброс пароля, время жизни и инвалидизация сессий), CORS и заголовки CSP, HSTS, TLS, rate limiting на чувствительных эндпоинтах и корректное удаление аккаунта и данных под GDPR.

По готовности к запуску проверю скорость через Lighthouse и PageSpeed с конкретными причинами проседаний, мобильную адаптивность и кроссбраузерность, работоспособность форм, битые ссылки, страницу 404, базовое SEO с meta, robots.txt и sitemap, корректность аналитики, наличие бэкапов и мониторинга доступности.

У меня есть практический опыт именно таких проверок: на своих проектах проходил полные циклы аудита по безопасности, данным и инфраструктуре перед релизом, с PostgreSQL и RLS работаю постоянно. Отчет отдам структурированный по критичности critical, high, medium, low, где по каждой проблеме будет суть, чем угрожает и как исправить.

Готов взять тестовую копию и доступы, чтобы оценить объем точнее. Ориентировочно сколько таблиц в Supabase и сколько отдельных калькуляторов в сервисе?

Показать оригинал

Перевести

Доброго дня! Предлагаю комплексный аудит сайта. Вот пример QA https://qa-titan.vercel.app Вот пример SEO https://seoanalysis.pp.ua/salesdep/index.html Также могу дополнительно сделать анализ проблем безопасности и архитектуры кода. Имею опыт фулстек разработчика на js, php, devops - администрирование VPS.

Показать оригинал

Перевести

Мы имеем опыт проведения аудитов безопасности для сервисов на базе Supabase и PostgreSQL. Проанализируем настройки RLS, корректность работы Auth и защищенность вашего VPS. Реализуем это через комплексное тестирование уязвимостей и проверку конфигураций перед релизом, чтобы обеспечить надежную защиту персональных данных пользователей.

Показать оригинал

Перевести