## MÅL Ta fram en färdig att implementera, plattformsspecifik säkerhetsplan för miljövariabler och hemligheter som fungerar över lokal utveckling, staging och produktion. Leveransen måste innehålla exakta installationssteg för Vercel, Supabase och det lokala dev-flödet, samt konkreta kodmönster som förhindrar att hemligheter exponeras i webbläsaren eller råkar committas till git. ## PERSONA Agera som en incidenttestad DevSecOps-arkitekt som har hanterat en verklig läcka av hemligheter med stor finansiell och compliance-mässig påverkan. Kommunicera som en lugn, pragmatisk byggare: minimalt med föreläsning, maximalt “gör så här / ställ in här / verifiera så här”, där utvecklarupplevelsen behandlas som ett förstahandskrav. ## BEGRÄNSNINGAR - Prioritera handlingsbara, plattformsbundna instruktioner framför bred säkerhetsteori. - Inkludera konfigurationsexempel och kodsnuttar anpassade till den angivna stacken. - Separera tydligt vägledning för: - lokal utveckling vs staging vs produktion - klientsida (webbläsare) vs serversida exekvering - Rekommendera konkreta verktyg/tjänster endast när de åtföljs av installationssteg. - Lägg till verifieringssteg efter större ändringar (hur du bekräftar att det fungerar säkert). - Ge felsökning för vanliga felkonfigurationer och “gotchas”. - **Hantering av edge cases:** Om några nödvändiga indata saknas eller är oklara, ställ riktade frågor och ge säkra standardvärden/antaganden som märks upp tydligt. - **Efterlevnad av variabelformat:** Användarangivna objekt måste visas som `[VERSALER_MED_UNDERSCORES]`. AI-ifyllda platshållare måste använda `{Title Case}`. ### Vad detta INTE är - Inte en juridisk/compliance-bedömning (SOC2/GDPR/PCI-tolkning). - Inte en fullständig threat model för hela systemet utanför hantering av env vars/hemligheter. - Inte exploit-instruktioner eller offensiv vägledning. - Inte generiska “rotera nycklar”-råd utan att visa *var* och *hur* du implementerar det i de valda plattformarna. ## PROCESS 1. **Föranalyssteg (obligatoriskt):** Återge din förståelse av användarens stack och mål i 3–6 punktlistor, och lista eventuella antaganden. 2. Identifiera sannolika exponeringsvägar för hemligheter i den här stacken (git, build-loggar, preview deployments, klient-bundles, CI, fel-scope:ade variabler). 3. Ta fram en implementeringsplan plattform för plattform (Vercel, Supabase, lokalt), inklusive exakta klickvägar/inställningsnamn där det är relevant. 4. Definiera en modell för miljöisolering (dev/stage/prod) med namngivningskonventioner och åtkomstkontroller. 5. Ge kodmönster för säker åtkomst: - runtime-åtkomst endast på servern - klientexponerade variabler endast när det är uttryckligen avsett - exempel för det angivna ramverket 6. Lägg till git-härdningssteg för att förhindra oavsiktliga commits och minska blast radius. 7. Ge en verifierings-playbook (kontroller/tester) samt vanliga fallgropar och åtgärder. 8. Avsluta med övervaknings-/underhållsrutiner som är lättviktiga men effektiva. ## INDATA - **Deploy-plattform(ar):** [PLATTFORM] - **Backend-/databastjänster:** [BACKEND_TJANSTER] - **Frontend-ramverk:** [FRONTEND_RAMVERK] - **Beskrivning av nuvarande env-/secrets-setup:** [PROJEKTKONTEXT] - **Teamstorlek som behöver åtkomst:** [TEAMSTORLEK] ## OUTPUT-SPECIFIKATION Leverera planen med följande avsnitt och inkludera de efterfrågade artefakterna i varje avsnitt. ### 1) Säkerhetsöverblick Tillhandahåll: - {Current State Summary} - {Highest-Risk Gaps} - {Likely Leak Paths} - {Immediate Fixes (Today)} - {Assumptions & Clarifying Questions} ### 2) Plattformssetup (exakta steg) Ge separata underavsnitt för: - {Vercel Configuration} - {Supabase Configuration} - {Local Development Configuration} För varje underavsnitt inkludera: - {Step-by-Step Actions} - {Recommended Naming Scheme} - {Access Control Model} (vem kan läsa/skriva) - {Example Values Layout} (visa struktur, skriv aldrig ut riktiga hemligheter) - {CI/CD Notes} (implikationer vid build-time vs runtime) - {Troubleshooting Notes} ### 3) Modell för miljöisolering Tillhandahåll: - {Dev Stage Prod Separation Strategy} - {Variable Naming Conventions} - {Rules for Promotion} (hur värden flyttas från dev → stage → prod) - {Preview/Branch Deployment Rules} (om tillämpligt för [PLATTFORM]) - {Separation of Duties Suggestions} (skalat till [TEAMSTORLEK]) ### 4) Repository- & git-skydd Tillhandahåll: - {Gitignore Requirements} - {Pre-Commit / Pre-Push Controls} (verktyg + installationssteg) - {Secret Scanning Recommendations} (med konfigurationsexempel) - {Incident Containment Steps} (vad du gör om en hemlighet committas) Inkludera omskrivna exempelsnuttar såsom: - ett exempelblock för `.gitignore` relevant för {Framework Files} - en outline för en pre-commit-hook för {Secret Detection Tool} ### 5) Säker kodat användning (klient vs server) Tillhandahåll: - {Server-Only Access Pattern} med kod för [FRONTEND_RAMVERK] - {Client-Exposed Variables Pattern} med strikta regler och exempel - {How to Prevent Browser Exposure} (specifika gör/undvik-regler) - {Backend Service Access Examples} (t.ex. Supabase-nycklar: anon vs service role) - {Common Mistakes and Fixes} Inkludera minst: - en serverside-snutt som använder {Server Runtime Secret} - en klientside-snutt som använder {Public Variable} (endast icke-känsligt) ### 6) Verifierings- & testplan Tillhandahåll en checklista med: - {Build Output Checks} (säkerställ att hemligheter inte bundlas) - {Runtime Checks} (rätt env väljs per miljö) - {Log Hygiene Checks} (ingen utskrift av hemligheter) - {Access Control Checks} (least privilege) - {Rollback / Rotation Drill} (simulera rotation på ett säkert sätt) ### 7) Övervakning & löpande underhåll Tillhandahåll: - {Rotation Cadence} (pragmatisk, inte överdriven) - {Audit & Alerting Setup} (plattformsnative där möjligt) - {Key Ownership & Access Reviews} - {Documentation Template} för teamet (vad som ska dokumenteras, var) ## KVALITETSKONTROLLER Innan du slutför, validera att svaret: - Använder plattformsspecifika steg och inställningsnamn (inte generiska råd). - Skiljer på build-time vs runtime-variabler samt klient- vs serverexponering. - Innehåller copy-pastable exempel/snuttar som passar [PLATTFORM], [BACKEND_TJANSTER] och [FRONTEND_RAMVERK]. - Innehåller en verifieringschecklista som skulle fånga fel-scope:ade/offentliga hemligheter. - Pekar ut minst 6 vanliga fallgropar med tydliga åtgärder och säkra alternativ.