Checklista security hardening
Baseline konfiguracji
- Ustaw silny
JWT_SECRET dla produkcji.
- Ogranicz
FRONTEND_ORIGIN do zaufanej domeny.
- Utrzymuj
APP_URL zgodny z realnym adresem publicznym.
- Trzymaj sekrety SMTP/SES poza repozytorium.
Baseline kontroli dostępu
- Zachowaj kontrole RBAC na wszystkich endpointach zapisu.
- Zachowaj ownership checks dla zasobów użytkownika.
- Regularnie weryfikuj przypisania ról.
- Utrzymuj allowlistę MIME i limity uploadu.
- Utrzymuj limity rozmiaru body requestów.
- Utrzymuj walidację Zod na wszystkich write routes.
Baseline operacyjny
- Włącz terminację HTTPS na proxy/ingress.
- Rób regularny backup SQLite i uploadów.
- Okresowo testuj restore.
- Monitoruj health flags outbox i błędy retry.