본문 바로가기
버블 개발/중급

121. Bubble 보안 Checklist (중급) : 보안 체크리스트

by 스타트업 사업가 마르코 2023. 9. 15.
이 문서를 읽기 전에 생각해봐야 할 것은, 아래의 체크리스트가 모든 보안 시나리오나 위협에 대해 다룰 수는 없다는 점을 알고 있어야 합니다.
  • 이것은 보안을 지키기 위한 시작점이라고 생각하고 유용한 도구로 여기면 좋을 것 같습니다.
  • 이 섹션에서는 지속적으로 앱을 배포할 때마다 확인해야 하는 공통된 사항을 다룹니다.

 

(1) 보안계획

: 개발을 시작하기 전에 보안 구조의 다양한 부분을 계획하십시오

  • Data Type
  • Page
  • User Role
116. 보안 정책 계획(중급) : 필수적 법률 보호, 선택적 보호, 보안을 위한 설계 > 바로가기

 

(2) 버블 계정 보안

  • 강력한 비밀번호를 사용하세요
  • 이중인증(2FA) 기능을 활성화하세요
  • 협업을 한다면 협업 비밀번호 정책 및 이중인증(2FA) 정책을 만들고 유지합니다.
118. Bubble 계정 보안 (중급) : 비밀번호를 저장하는 방법, 이중 인증, Hash, Salting > 바로가기

 

(3) 앱 접근 보안

  • 공동작업자에게 필요한 것보다 더 많은 접근 권한을 부여하지 마세요
  • 더 이상 접속할 필요가 없는 공동작업자를 제거합니다.
  • Live 버젼 데이터베이스에 대한 접근 정책을 유지보수합니다.
119. App 보안 설정 (중급) : 버블의 앱 개발자 보안 설정, 협업 권한 설정 > 바로가기

 

(4) 데이터 베이스

  • 모든 개인 데이터 Type에 Privacy rule(개인 정보 보호 규칙)를 추가합니다.
  • 워크플로오 내에서 데이터를 보호하기 위해서 Only When 조건식을 사용하거나 자동 바인딩과 Privacy rule를 결합하여 권한 없는 사용자의 데이터 편집을 방지하세요
  • Live 데이터베이스를 개발버전에 복사하는 경우 그곳에 접근 권한이 있는 사람을 염두에 두십시오
67. 개인정보규칙과 데이터 보호(중급) : Protecting data with Privacy Rules, 규칙 설정 방법, 예시 > 바로가기

 

(5) 페이지 보안

  • 페이지 element, Option set, workflow에 민감한 데이터를 저장하지 마세요.
  • Bubble의 Javascript에 표시되는 세부정보에 유의하세요
  • 페이지 이름
  • 데이터 Type 이름 및 default value
  • API Connector 에 저장된 정
  • Option set의이름 및 속성
  • App text에 저장된 이름 및 문자열
  • App Optimizer (앱 최적화 도구)를 사용하여 코드에서 삭제된 데이터 제거
  • URL에 민감한 데이터를 저장하지 마세요
120. 버블의 Page 보안 설정 (중급): javascript 코드 보안, workflow 보안, Optimize Application, 서버 측 redirection

 

(6) API, Plugin 및 Custom header 보안

  • API 설정에서 비공개로 데이터의 전송이 가능한지 점검하고 필요하지 않은 경우 endpoint를 비공개로 전환합니다.  
  • 플러그인과 Custom header의 내용은 보안에 영향을 미칠 수 있습니다.
  • 신뢰할 수 있는 소스에서 나온 것인지 확인하세요
110. API Security (중급) : 버블 API Connector 보안, Data API 보안, Workflow API 보안 > 바로가기