É seguro expor minha chave anon do Supabase?

Sim — a chave anon foi feita para ser pública e vai no seu front-end. Sua proteção vem das políticas de segurança em nível de linha, não de manter a chave anon em segredo. A chave service_role, porém, nunca deve ser exposta.

Como verifico se minhas tabelas do Supabase estão públicas?

Use nosso verificador de RLS do Supabase grátis. Cole a URL do seu projeto e a chave anon, e ele informa quais tabelas retornam dados sem autenticação.

O Supabase é compatível com HIPAA?

O Supabase oferece um nível compatível com HIPAA nos planos pagos, com BAA assinado, mas a conformidade é uma responsabilidade compartilhada — você ainda precisa configurar RLS, controles de acesso e logs corretamente. A plataforma ter capacidade para HIPAA não torna o seu app específico conforme.

O Supabase é seguro? Como proteger seu app no Supabase

O Supabase é seguro por design — mas só se você ativar e configurar corretamente a segurança em nível de linha. A maior parte das exposições vem de pular essa etapa.

Resposta curta

O Supabase é uma plataforma bem construída e segura. Quase todo vazamento de dados no Supabase remete a um único erro: a segurança em nível de linha (RLS) está desativada ou escrita de forma permissiva demais, então a chave anon pública consegue ler tabelas inteiras. A chave anon é feita para ser pública — sua segurança vem da RLS, não de esconder a chave.

O Supabase é uma plataforma segura e bem projetada, e a chave anon (pública) foi feita para ser exposta no seu front-end. Quase todo vazamento de dados no Supabase se resume a um único erro: a segurança em nível de linha (RLS) está desativada ou escrita de forma permissiva demais, então qualquer pessoa com sua chave anon consegue ler tabelas inteiras. Sua proteção vem das políticas de RLS, não de manter a chave anon em segredo. Se você fizer apenas uma coisa antes de lançar, confirme que a RLS está ativada e corretamente delimitada em todas as tabelas que guardam dados de usuários.

Supabase segurança num relance

Tipo de plataforma: Back-end open-source (Postgres, autenticação, armazenamento)
Risco mais comum: RLS desativada ou configurada como "permitir tudo"
A chave anon é secreta?: Não — ela é pública por design; a RLS é o controle
Chave service_role: Nunca pode chegar ao navegador — ela ignora a RLS
Como verificar: Rode o verificador de RLS do Supabase grátis

Os riscos de segurança mais comuns do Supabase

RLS desativada em uma tabela

Qualquer tabela sem a RLS ativada fica totalmente legível (e muitas vezes gravável) por qualquer pessoa com sua chave anon — que vai no seu front-end.

Políticas permissivas demais

Uma política de "permitir tudo" ou "true" tecnicamente ativa a RLS, mas deixa os dados totalmente abertos. RLS "ligada" não é o mesmo que RLS correta.

Chave service_role no cliente

A chave service_role ignora a RLS por completo. Se ela chegar ao navegador ou a um repositório público, seu banco de dados inteiro fica exposto.

Como proteger seu app no Supabase

Verifique seu app no Supabase em 60 segundos

Cole a URL já no ar para uma varredura gratuita de prontidão para o lançamento e, em seguida, receba uma liberação revisada por humanos e com seguro antes de lançar.

Perguntas frequentes sobre segurança do Supabase

É seguro expor minha chave anon do Supabase?: Sim — a chave anon foi feita para ser pública e vai no seu front-end. Sua proteção vem das políticas de segurança em nível de linha, não de manter a chave anon em segredo. A chave service_role, porém, nunca deve ser exposta.
Como verifico se minhas tabelas do Supabase estão públicas?: Use nosso verificador de RLS do Supabase grátis. Cole a URL do seu projeto e a chave anon, e ele informa quais tabelas retornam dados sem autenticação.
O Supabase é compatível com HIPAA?: O Supabase oferece um nível compatível com HIPAA nos planos pagos, com BAA assinado, mas a conformidade é uma responsabilidade compartilhada — você ainda precisa configurar RLS, controles de acesso e logs corretamente. A plataforma ter capacidade para HIPAA não torna o seu app específico conforme.