Linee guida generali sulla sicurezza per diversi ambienti con flussi di lavoro di sviluppo
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
In questa pagina vengono descritte le best practice più importanti per la sicurezza in
ambienti, ma è necessario esaminare
Elenco di controllo per la sicurezza per informazioni
una guida approfondita su sicurezza e Firebase.
Sicurezza per gli ambienti di pre-produzione
Un vantaggio della separazione degli ambienti in progetti Firebase diversi è che un agente malintenzionato in grado di accedere ai tuoi ambienti di pre-produzione non potrà accedere ai dati utente reali. Di seguito sono riportate le precauzioni di sicurezza più importanti da adottare
per gli ambienti di pre-produzione:
Limita l'accesso agli ambienti di pre-produzione. Per le app mobile, usa
App Distribution (o qualcosa di simile) per distribuire
un'app per un gruppo specifico di persone. Le applicazioni web sono più difficili da limitare.
Valuta la possibilità di configurare una
funzione di blocco
per gli ambienti di pre-produzione che limiti l'accesso agli utenti con indirizzi email
specifici del tuo dominio. Oppure, se utilizzi
Firebase Hosting, configura i flussi di lavoro pre-produzione da utilizzare
URL di anteprima temporanea.
Quando un ambiente non deve essere mantenuto e viene utilizzato solo da una
persona (o, nel caso dei test, da una macchina) utilizzano
Firebase Local Emulator Suite Questi emulatori sono più sicuri
più rapidamente perché possono lavorare interamente su localhost anziché utilizzare il cloud
Google Cloud.
Assicurati di aver configurato Firebase Security Rules in pre-produzione
di produzione, esattamente come fai in fase di produzione. In generale, Rules deve
la stessa cosa negli ambienti, con l'avvertenza che, poiché le regole cambiano
potrebbero esserci regole precedenti nella pipeline che non esistono
e produzione.
Sicurezza per gli ambienti di produzione
I dati di produzione sono sempre un target, anche se l'app è oscura. Stai seguendo
le linee guida non impediscono a un utente malintenzionato di accedere ai tuoi dati,
ma lo rende più difficile:
Abilita e applica App Check per tutti i prodotti
lo utilizzi. App Check si assicura che le richieste ai tuoi
provenienti dalle tue app originali. Per utilizzarlo,
devi registrare ogni versione della tua app su App Check. È più facile
configurare prima degli utenti, quindi impostalo il prima possibile.
Scrivi Firebase Security Rules in modo efficace. Realtime Database, Cloud Firestore e
Tutti i Cloud Storage si basano su Rules configurati dallo sviluppatore per
stabilire chi può e chi non può accedere ai dati. È essenziale per la tua sicurezza scrivere un buon Rules. In caso di dubbi,
inizia con questo codelab.
Per ulteriori informazioni, consulta l'elenco di controllo per la sicurezza
e i suggerimenti sulla sicurezza per gli ambienti di produzione.
Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-07-25 UTC.
[null,null,["Ultimo aggiornamento 2025-07-25 UTC."],[],[],null,["This page describes the most important best practices for security across\nenvironments, but review the\n[*Security checklist*](/support/guides/security-checklist) for more detailed and\nthorough guidance about security and Firebase.\n\nSecurity for pre-production environments\n\nOne benefit of separating environments in different Firebase projects is that a\nmalicious actor who is able to access your pre-prod environments won't be able\naccess real user data. Here are the most important security precautions to take\nfor pre-production environments:\n\n- Limit access to pre-prod environments. For mobile apps, use\n [App Distribution](/docs/app-distribution) (or something similar) to distribute\n an app to a specific set of people. Web applications are harder to restrict;\n consider setting up a\n [blocking function](https://cloud.google.com/identity-platform/docs/blocking-functions)\n for the pre-prod environments that restricts access to users with email\n addresses that are specific to your domain. Or, if you're using\n Firebase Hosting, set up your pre-prod workflows to use\n [temporary preview URLs](/docs/hosting/test-preview-deploy).\n\n- When an environment doesn't need to be persisted and is only being used by one\n person (or in the case of tests, by one machine) use the\n [Firebase Local Emulator Suite](/docs/emulator-suite). These emulators are safer\n and faster because they can work entirely on localhost instead of using cloud\n resources.\n\n- Make sure that you have [Firebase Security Rules](/docs/rules) set up in pre-production\n environments, just as you do in prod. In general, the Rules should\n be the same across environments, with the caveat that since rules change with\n code, there may be rules earlier in the pipeline that don't yet exist in\n production.\n\nSecurity for production environments\n\nProduction data is always a target, even if the app is obscure. Following these\nguidelines doesn't make it impossible for a malicious actor to get your data,\nbut it makes it more difficult:\n\n- Enable and enforce [App Check](/docs/app-check) for all the products\n you're using that support it. App Check makes sure that requests to your\n backend services are coming from your genuine apps. In order to use it, you\n need to register each version of your app with App Check. It's easier to\n set up before you have users, so set it up as soon as possible.\n\n- Write robust [Firebase Security Rules](/docs/rules). Realtime Database, Cloud Firestore, and\n Cloud Storage all rely on developer-configured Rules to\n enforce who should and shouldn't be able to access data. It's essential to\n your security that you write good Rules. If you're not sure how,\n start with this [codelab](/codelabs/firebase-rules).\n\n- Review the [*Security checklist*](/support/guides/security-checklist) for more\n recommendations about security for production environments.\n\nNext steps\n\n- Review the [Firebase launch checklist](/support/guides/launch-checklist)."]]
