SECRET-001Críticosecrets
Supabase service_role JWT em bundle público
Procura por JWTs com claim `role: service_role` nos artefatos estáticos servidos ao navegador.
Por que importa
A chave service_role bypassa RLS por completo. No bundle do frontend, ela é equivalente a dar acesso de administrador do banco para qualquer visitante.
Como corrigir
Mova o segredo para o backend, rotacione imediatamente em **Settings → API → Reset service_role** e invalide qualquer build publicado.
Verificar a correção
SECRET-001 · verifynão-destrutivo
curl -s https://seu-app.com/_next/static/chunks/main.js | grep -c 'service_role' || echo ok