Chargement de votre espace projet et livraison sécurisé.
Chargement de votre espace projet et livraison sécurisé.
Notes occasionnelles sur le développement web et mobile, le travail avec une équipe logicielle nearshore et les actualités QENVEX.
Vue sécurité
QENVEX utilise accès authentifié, routes par rôle, lectures data avec RLS et proxies de fichiers protégés.
Matrice de vérification des contrôles
La posture sécurité est plus forte lorsque chaque contrôle a un détail d'implémentation et une vérification de lancement.
L'authentification passe par Supabase Auth hébergé. Les pages workspace et admin vérifient la session côté serveur avant d'afficher le contenu protégé.
Les expériences client, ingénieur, admin et super-admin sont séparées par protection de routes et contrôles app_metadata pour les actions admin de confiance.
Les données workspace sont lues depuis Supabase avec row-level security activée et des politiques autour du client, des membres projet et des admins.
Les routes de download/preview workspace et admin revérifient l'accès avant de servir les fichiers, sans URLs publiques pour les documents sensibles.
Les actions importantes créent des lignes d'activité, notifications workspace et emails transactionnels best-effort lorsque les politiques le permettent.
Les checks de production vérifient variables requises, Supabase hébergé, santé des routes publiques, builds production et advisors Supabase live.
La posture sécurité est plus forte lorsque chaque contrôle a un détail d'implémentation et une vérification de lancement.
Identité et session
Autorisation base de données
Livraison fichiers privés
Protection des écritures publiques
Preuves opérationnelles
| Zone de contrôle | Implémentation | Vérification |
|---|---|---|
| Identité et session | Supabase Auth hébergé, contrôles utilisateur côté serveur, callbacks localisés et rôles app_metadata de confiance pour admin et ingénieur. | Smoke login, invitation, recovery, workspace, admin et redirections signed-out avant promotion production. |
| Autorisation base de données | Les politiques Supabase RLS séparent visibilité client, ingénieur, admin et super-admin pendant que les actions service-role restent côté serveur. | Exécuter advisors Supabase hébergés, inspecter les parcours par rôle et confirmer les comptes data via le rapport admin. |
| Livraison fichiers privés | Les fichiers projet et PDF facture utilisent des objets Cloudflare R2 privés avec proxies authentifiés et contrôles de lignes Supabase. | Smoke upload, preview, download, remplacement, PDF facture, notification et activity_log après provisionnement des buckets R2. |
| Protection des écritures publiques | Cloudflare Turnstile, guards runtime locaux, limites de payload et règles WAF/rate-limit planifiées protègent les APIs d'entrée. | Confirmer que les soumissions normales passent, les gros payloads sont rejetés et les abus répétés sont challengés ou bloqués au edge. |
| Preuves opérationnelles | Readiness admin, rapports delivery, santé CRM, activity logs, notifications et exports donnent une preuve revuable aux opérateurs. | Télécharger les rapports JSON, Markdown et CSV, exécuter la gate locale et attacher smoke live plus preuves provider à la revue. |
QENVEX peut parcourir accès workspace, gestion de fichiers et gates de lancement pendant l'onboarding.
Nous contacter