Tek bir URL ile bir web sitesinin temel güvenlik durumunu kontrol eden araç: Vibe Guardian

Son zamanlarda vibe coding popülerleşirken, hızlıca üretip yayına alma akışı içinde
temel güvenlik ayarlarının çoğu zaman geri planda kaldığını hissettim.

Gerçekte yaşanan büyük küçük olaylara bakınca
karmaşık hack girişimlerinden çok daha basit durumların yaygın olduğunu gördüm.

• Açığa çıkmış API anahtarları, CORS ayarları, herkese açık .env dosyaları, kritik logların ifşası vb.
  (bu tür temel ayar eksiklikleri yüzünden çok sık yaşanıyor)

Bu yüzden sadece bir URL girildiğinde
bir web sitesinin temel güvenlik durumunu hızlıca kontrol edip,
sorun yaratabilecek noktaları inceleyebilen bir araç yapmayı denedim.

Mükemmel güvenlik sunan bir servis değil,
ama en azından temel ayar eksiklikleri ya da anahtar sızıntıları gibi
olayların yaşanmamasına odaklandım.

Temel güvenlik ayarlarını bir kez düzenleyince,
bunlar başka projelerde de kullanılabildiği için
yayına aldıktan sonra en az bir kez kontrol etmek iyi olabilir diye düşünüyorum.

[Web sitesi]

• https://vibe-guardian.com

Ek olarak burada geliştirici çok olduğu için böyle bir durum pek yaşanmaz muhtemelen ama,
vibe coding ile yapılan servislerde bazen ön uçtan doğrudan AI API çağrısı yapıldığına denk geliyorum.
.env anahtarı gizli bir şey gibi göründüğü için, geliştirici olmayan kişiler bunu karıştırabiliyor sanırım.

Ayrı bir konu ama ben de AWS üzerinde bir proxy sunucusu kurup, “Bu sadece herkese açık bile olmayan düz bir IP, bunu kim nasıl bulsun ki?” diye düşünüp ayrıca kimlik doğrulama/güvenlik koymadan açmıştım; daha ertesi gün AWS’den anormal belirtilerle ilgili e-posta almıştım. Bir gün içinde inanılmaz trafik gelmişti,,, neyse ki AWS tarafı anlayış göstermişti TT

Düşündüğümden çok daha hızlı şekilde tespit edilip erişildiğini bizzat deneyimlemiştim.