Что нужно знать о безопасности, чтобы не слить прод
Реальные ошибки безопасности, которые ломают проекты и карьеры. Как не допустить утечки данных и защитить прод от фатальных багов. Советы, таблицы, чеклист и обучение в приложении Кодик.
В программировании часто говорят: «работает — не трогай». Но в реальности важно не только, чтобы «работало», но и чтобы никто посторонний не получил доступ к базе, ключам, логам или данным пользователей.
Если ты хочешь быть не просто разработчиком, а надёжным разработчиком, вот список типичных фейлов, которые реально могут стоить тебе работы — особенно если речь о продакшене.
❌ Фатальные ошибки, за которые реально увольняют
Ошибка 🧨 | Что может случиться 📉 |
|---|---|
Коммит секретного ключа в Git | Потеря доступа к инфраструктуре, взлом хранилищ |
Открытая БД без авторизации | Утечка персональных данных пользователей |
API-ключи в JS на фронте | Злоумышленник может их использовать |
Игнорирование CORS, CSRF, XSS | Угрозы подмены данных, кража сессий |
Отсутствие логирования попыток взлома | Ты даже не узнаешь, что на тебя напали |
Логи с паролями, токенами или картами 💳 | Прямое нарушение закона (например, GDPR) |
🔍 Где чаще всего «сливают прод»?
.env файлы в git — забудь раз и навсегда. Добавь
.envв.gitignore.Открытые S3-бакеты / GCS-бакеты — как открыть все документы компании для интернета.
Публичный GitHub с токеном — твой AWS-аккаунт может быть взломан за пару минут.
Прямой SQL-запрос без экранирования — классика: SQL-инъекции.
Одинаковые пароли у админов и юзеров — особенно весело, если это
admin:admin.
✅ Что должен знать каждый разработчик (и проверять в ревью)
Что знать 📚 | Как не допустить ❗️ |
|---|---|
Что такое .env и зачем gitignore | Всегда проверяй |
Как работает авторизация и аутентификация | Используй JWT или OAuth2, не храни пароли в коде |
Что такое CORS, CSRF, XSS | Добавляй хедеры защиты, проверяй токены |
Как шифровать данные | bcrypt, AES, TLS. Пароли — только в хэше |
Логи и мониторинг | Не пиши чувствительные данные в прод-логи |
🧠 Реальные кейсы из жизни
Uber (2016) — AWS-токен в приватном репозитории. Утекли данные 57 млн пользователей.
GitGuardian (2023) — зафиксировал более 10 млн утечек ключей в открытых репозиториях.
Стартап Dev → Telegram-бот — коммит `.env`, через сутки бот рассылает 40,000 спамов.
🛡 Чеклист перед пушем на прод
✅ Все `.env` и ключи в `.gitignore`
✅ Проверка токенов через GitGuardian
✅ Тестирование CORS, CSRF, XSS
✅ Защищённые 403 и 401 на приватных роутов
✅ Логи без токенов и паролей
✅ Пароли хэшируются
✅ Доступ к БД по VPN
✅ Удалены старые токены
✅ Минимальные права доступа
🤖 А если ты новичок?
Такие ошибки легко допустить, если ты учишься — но лучше сразу вырабатывать безопасные привычки.
В приложении Кодик ты найдёшь упражнения по темам: .env, работа с токенами, безопасный ввод, настройка прав, безопасное хранение паролей и многое другое.
Пиши не просто код, а безопасный код.
А ты когда-нибудь случайно коммитил .env? Или хочешь стать безопаснее в коде? Напиши, и мы сделаем статью про безопасность во фронте, бэке или DevOps ✍️