Supabase'ın kendisi güvenli bir platform olmasına rağmen, geliştiricilerin hataları nedeniyle önemli güvenlik açıkları ortaya çıkıyor. Özellikle service_role anahtarlarının istemci tarafında sızdırılması, satır seviyesi güvenlik (RLS) politikalarını atlayarak tüm veritabanına tam erişim sağlıyor. Bu durum, yapay zeka destekli kodlama asistanları ve hızlı geliştirme araçlarının yaygınlaşmasıyla birlikte, geliştiricilerin güvenlik pratiklerini göz ardı etmesinden kaynaklanıyor. Hızlı uygulama geliştirme kolaylığı, güvenlik maliyetini de beraberinde getiriyor.
SupaExplorer tarafından yapılan bir araştırma, beş büyük bağımsız ürün dizininden alınan uygulamaların %11'inde bu tür sızıntıların bulunduğunu ortaya koydu. Tarama, bir saldırganın herkese açık olarak görebileceği bilgileri hedef alarak yapıldı. Bulgulara göre, service_role anahtarlarının veya RLS'siz tablolarla kullanılan anon anahtarlarının ifşa edilmesi ciddi riskler taşıyor. Çünkü service_role anahtarı, tüm RLS politikalarını devre dışı bırakarak herhangi bir veriyi okuma, değiştirme veya silme yetkisi veriyor. Supabase dokümantasyonu bu anahtarların asla tarayıcıda kullanılmaması veya herkese açık hale getirilmemesi gerektiğini açıkça belirtiyor.
Araştırma, özellikle TrustMRR dizinindeki ürünlerin %23.76'sında bu tür güvenlik açıklarının bulunduğunu gösteriyor. Bu rapor, Supabase'ı eleştirmek yerine, geliştiricilerin bu yaygın hataları düzeltmelerine yardımcı olmayı amaçlıyor. Geliştirme süreçlerinde güvenlik bilincinin artırılması ve doğru yapılandırmaların uygulanması, bu tür sızıntıların önüne geçmek için kritik öneme sahip.
Geliştiricilerin hız odaklı yaklaşımları ve hatalı yapılandırmaları, Supabase gibi güvenli platformlarda dahi ciddi veri sızıntılarına yol açabiliyor.