SB-003Médiodata-store

Buckets de Storage não são listáveis publicamente

Verifica se buckets privados bloqueiam o endpoint de listagem anônima.

Por que importa

Buckets listáveis entregam o inventário completo de uploads — backups, faturas, documentos de usuários — mesmo quando cada arquivo individual exige autenticação.

Como corrigir

Defina a política do bucket como privada e garanta que apenas o service_role pode executar `storage.objects` SELECT sem filtros.

Verificar a correção

SB-003 · verifynão-destrutivo

curl -s "$SUPABASE_URL/storage/v1/object/list/<bucket>" -H "apikey: $ANON_KEY"

Referências

Supabase — Row Level Security
PostgREST — Authentication