Vibe Guardian, công cụ kiểm tra tình trạng bảo mật cơ bản của website chỉ với một URL

Dạo gần đây, khi xu hướng vibe coding trở nên phổ biến và mọi người đẩy nhanh quá trình tạo và triển khai sản phẩm,
tôi cảm thấy các thiết lập bảo mật cơ bản thường bị đẩy xuống phía sau.

Nhìn vào những sự cố lớn nhỏ xảy ra trong thực tế,
nhiều trường hợp lại đơn giản hơn rất nhiều so với các vụ hack phức tạp.

• API key bị lộ, thiết lập CORS, file .env bị công khai, lộ các log quan trọng, v.v.
  (những sự cố như vậy thường xảy ra do bỏ sót các thiết lập cơ bản)

Vì vậy, tôi đã thử tạo một công cụ mà chỉ cần nhập một URL
là có thể nhanh chóng kiểm tra tình trạng bảo mật cơ bản của website,
và rà soát những phần có thể trở thành vấn đề.

Đây không phải là một dịch vụ cung cấp bảo mật hoàn hảo,
nhưng ít nhất nó tập trung vào việc ngăn các sự cố
như bỏ sót thiết lập cơ bản hay lộ key xảy ra.

Các thiết lập bảo mật cơ bản, nếu đã được sắp xếp một lần,
thì có thể dùng lại cho các dự án khác,
nên có lẽ sau khi deploy bạn cũng nên kiểm tra lại ít nhất một lần.

[Website]

• https://vibe-guardian.com

Ngoài ra, ở đây có nhiều lập trình viên nên chắc không đến mức đó, nhưng khi thấy các dịch vụ được làm bằng vibe coding, tôi thỉnh thoảng vẫn gặp trường hợp gọi AI API trực tiếp từ frontend.
Có lẽ vì key trong .env tạo cảm giác như là bí mật, nên những người không phải lập trình viên dễ bị nhầm lẫn.

Nói sang chuyện khác, tôi cũng từng có trải nghiệm dựng một proxy server trên AWS rồi nghĩ rằng “chỉ là một IP không hề được công khai, ai mà biết được chứ?”, nên mở nó ra mà không thêm xác thực/bảo mật gì cả, để rồi ngay ngày hôm sau đã nhận được email từ AWS về dấu hiệu bất thường. Chỉ trong một ngày mà lưu lượng tăng khủng khiếp,,, may mà phía AWS đã thông cảm cho tôi hu hu

Khi đó tôi mới thực sự cảm nhận được rằng mọi thứ bị phát hiện và bị truy cập nhanh hơn nhiều so với mình tưởng.