Güvenlik İnceleme Skill'i

Bu skill tüm kodun güvenlik en iyi uygulamalarını takip etmesini sağlar ve potansiyel güvenlik açıklarını tanımlar.

Ne Zaman Aktifleştirmelisiniz

• Kimlik doğrulama veya yetkilendirme uygularken
• Kullanıcı girdisi veya dosya yüklemeleri işlerken
• Yeni API endpoint'leri oluştururken
• Secret'lar veya kimlik bilgileriyle çalışırken
• Ödeme özellikleri uygularken
• Hassas veri saklarken veya iletirken
• Üçüncü taraf API'leri entegre ederken

Güvenlik Kontrol Listesi

1. Secret Yönetimi

FAIL: ASLA Bunu Yapmayın

const apiKey = "sk-proj-xxxxx"  // Hardcoded secret
const dbPassword = "password123" // Kaynak kodda

PASS: HER ZAMAN Bunu Yapın

const apiKey = process.env.OPENAI_API_KEY
const dbUrl = process.env.DATABASE_URL

// Secret'ların var olduğunu doğrula
if (!apiKey) {
  throw new Error('OPENAI_API_KEY not configured')
}

Doğrulama Adımları

• Hardcoded API key, token veya şifre yok
• Tüm secret'lar environment variable'larda
• .env.local .gitignore'da
• Git history'de secret yok
• Production secret'ları hosting platformunda (Vercel, Railway)

2. Input Doğrulama

Her Zaman Kullanıcı Girdisini Doğrulayın

import { z } from 'zod'

// Doğrulama şeması tanımla
const CreateUserSchema = z.object({
  email: z.string().email(),
  name: z.string().min(1).max(100),
  age: z.number().int().min(0).max(150)
})

// İşlemeden önce doğrula
export async function createUser(input: unknown) {
  try {
    const validated = CreateUserSchema.parse(input)
    return await db.users.create(validated)
  } catch (error) {
    if (error instanceof z.ZodError) {
      return { success: false, errors: error.errors }
    }
    throw error
  }
}

Dosya Yükleme Doğrulama

function validateFileUpload(file: File) {
  // Boyut kontrolü (5MB max)
  const maxSize = 5 * 1024 * 1024
  if (file.size > maxSize) {
    throw new Error('Dosya çok büyük (max 5MB)')
  }

  // Tip kontrolü
  const allowedTypes = ['image/jpeg', 'image/png', 'image/gif']
  if (!allowedTypes.includes(file.type)) {
    throw new Error('Geçersiz dosya tipi')
  }

  // Uzantı kontrolü
  const allowedExtensions = ['.jpg', '.jpeg', '.png', '.gif']
  const extension = file.name.toLowerCase().match(/\.[^.]+$/)?.[0]
  if (!extension || !allowedExtensions.includes(extension)) {
    throw new Error('Geçersiz dosya uzantısı')
  }

  return true
}

Doğrulama Adımları

• Tüm kullanıcı girdileri şema ile doğrulanmış
• Dosya yüklemeleri kısıtlanmış (boyut, tip, uzantı)
• Kullanıcı girdisi doğrudan sorgularda kullanılmıyor
• Whitelist doğrulama (blacklist değil)
• Hata mesajları hassas bilgi sızdırmıyor

3. SQL Injection Önleme

FAIL: ASLA SQL Concatenation Yapmayın

// TEHLİKELİ - SQL Injection açığı
const query = `SELECT * FROM users WHERE email = '${userEmail}'`
await db.query(query)

PASS: HER ZAMAN Parametreli Sorgular Kullanın

// Güvenli - parametreli sorgu
const { data } = await supabase
  .from('users')
  .select('*')
  .eq('email', userEmail)

// Veya raw SQL ile
await db.query(
  'SELECT * FROM users WHERE email = $1',
  [userEmail]
)

Doğrulama Adımları

• Tüm veritabanı sorguları parametreli
• SQL'de string concatenation yok
• ORM/query builder doğru kullanılıyor
• Supabase sorguları düzgün sanitize edilmiş

4. Kimlik Doğrulama ve Yetkilendirme

JWT Token İşleme

// FAIL: YANLIŞ: localStorage (XSS'e karşı savunmasız)
localStorage.setItem('token', token)

// PASS: DOĞRU: httpOnly cookies
res.setHeader('Set-Cookie',
  `token=${token}; HttpOnly; Secure; SameSite=Strict; Max-Age=3600`)

Yetkilendirme Kontrolleri

export async function deleteUser(userId: string, requesterId: string) {
  // HER ZAMAN önce yetkilendirmeyi doğrula
  const requester = await db.users.findUnique({
    where: { id: requesterId }
  })

…