หลักเกณฑ์ด้านความปลอดภัยทั่วไปสำหรับสภาพแวดล้อมเวิร์กโฟลว์การพัฒนาซอฟต์แวร์ที่แตกต่างกัน

หน้านี้จะอธิบายถึงแนวทางปฏิบัติที่ดีที่สุดที่สำคัญที่สุดด้านความปลอดภัยใน แต่ควรตรวจสอบ รายการตรวจสอบความปลอดภัยสำหรับรายละเอียดเพิ่มเติม คำแนะนำเกี่ยวกับความปลอดภัยและ Firebase อย่างละเอียด

ความปลอดภัยสําหรับสภาพแวดล้อมช่วงก่อนการเผยแพร่

ข้อดีอย่างหนึ่งของการแยกสภาพแวดล้อมในโปรเจ็กต์ Firebase ต่างๆ คือ ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงสภาพแวดล้อมก่อนเวอร์ชัน ของคุณจะทำไม่ได้ เข้าถึงข้อมูลผู้ใช้จริงได้ มาตรการรักษาความปลอดภัยที่สำคัญที่สุดที่ควรทำสำหรับสภาพแวดล้อมช่วงก่อนเข้าสู่เวอร์ชันที่ใช้งานจริงมีดังนี้

  • จำกัดการเข้าถึงสภาพแวดล้อมเวอร์ชันก่อนเผยแพร่ สำหรับแอปบนอุปกรณ์เคลื่อนที่ ให้ใช้ App Distribution (หรือรูปแบบอื่นที่คล้ายกัน) เพื่อเผยแพร่ ไปยังกลุ่มผู้ใช้ที่เจาะจงได้ เว็บแอปพลิเคชันมีข้อจำกัดได้ยากกว่า ให้ลองตั้งค่า ฟังก์ชันการบล็อก สำหรับสภาพแวดล้อมก่อนเวอร์ชันที่ใช้งานจริงซึ่งจำกัดการเข้าถึงผู้ใช้ที่มีอีเมล ที่อยู่เฉพาะในโดเมนของคุณ หรือหากคุณกำลังใช้ Firebase Hosting โปรดตั้งค่าเวิร์กโฟลว์ก่อนเวอร์ชันที่ใช้งานจริงเพื่อใช้ URL ตัวอย่างชั่วคราว

  • เมื่อไม่จำเป็นต้องรักษาสภาพแวดล้อมไว้และใช้โดยสภาพแวดล้อมเดียวเท่านั้น (หรือในกรณีที่เป็นการทดสอบ โดยใช้คอมพิวเตอร์ 1 เครื่อง) Firebase Local Emulator Suite โปรแกรมจำลองเหล่านี้ปลอดภัยกว่า และเร็วขึ้นเพราะสามารถทำงานบน localhost ทั้งหมดได้แทนการใช้ระบบคลาวด์ ที่ไม่ซับซ้อน

  • ตรวจสอบว่าคุณได้ตั้งค่า Firebase Security Rules ในขั้นตอนก่อนการผลิตแล้ว สภาพแวดล้อมเดียวกันกับที่คุณทำ ในผลิตภัณฑ์จริง โดยทั่วไป Rules ควร เหมือนกันในทุกสภาพแวดล้อม พร้อมข้อควรระวังว่าเนื่องจากกฎจะเปลี่ยน อาจมีกฎก่อนหน้านี้ในไปป์ไลน์ที่ยังไม่มีอยู่ใน เวอร์ชันที่ใช้งานจริง

การรักษาความปลอดภัยสำหรับสภาพแวดล้อมการใช้งานจริง

ข้อมูลเวอร์ชันที่ใช้งานจริงจะเป็นเป้าหมายเสมอ แม้ว่าแอปจะไม่ชัดเจนก็ตาม กำลังติดตาม หากผู้ไม่ประสงค์ดีเข้าถึงข้อมูลของคุณ ก็คงเป็นไปไม่ได้ แต่กลับทำให้ยากขึ้น

  • เปิดใช้และบังคับใช้ App Check กับผลิตภัณฑ์ทั้งหมด แสดงว่าคุณใช้การสนับสนุนดังกล่าว App Check ช่วยให้มั่นใจว่าคำขอไปยัง บริการแบ็กเอนด์มาจากแอปจริงของคุณ ในการใช้งาน คุณต้อง จำเป็นต้องลงทะเบียนแอปแต่ละเวอร์ชันกับ App Check การตั้งค่าก่อนจะมีผู้ใช้จะง่ายกว่า ดังนั้นให้ตั้งค่าโดยเร็วที่สุด

  • เขียน Firebase Security Rules ที่มีประสิทธิภาพ Realtime Database, Cloud Firestore และ Cloud Storage ทั้งหมดใช้ Rules ที่นักพัฒนาแอปกําหนดค่าเพื่อบังคับใช้ว่าใครควรและไม่ควรเข้าถึงข้อมูลได้ จำเป็นต่อ ความปลอดภัยที่คุณเขียนว่า Rules หากไม่แน่ใจว่าจะเริ่มต้นอย่างไร ให้เริ่มด้วย codelab นี้

  • ดูข้อมูลเพิ่มเติมได้ในรายการตรวจสอบความปลอดภัย คำแนะนำเกี่ยวกับความปลอดภัยสำหรับสภาพแวดล้อมการใช้งานจริง

ขั้นตอนถัดไป