Autoren: Brian Smitches, Head of Partner Deployed Engineering bei Windsurf | Jin Wong, Partner Deployed Engineer bei Windsurf | Tarak, Growth bei Aikido
Moderne Entwicklungsteams tun weit mehr, als nur Code zu schreiben. Jetzt, mit Hilfe von KI, orchestrieren Softwareentwicklungsunternehmen dessen Erstellung, Wartung und Bereitstellung in einem größeren Umfang als je zuvor.
Tools wie Windsurf und Devin von Cognition helfen Entwickelnden über den gesamten Software Development Lifecycle (SDLC) hinweg, indem sie Menschen mit mehrstufigen Reasoning-Agenten erweitern, die Code schreiben können. Windsurf hilft Ihnen, direkt in Ihrer Codebasis in der IDE Ihres lokalen Rechners zu arbeiten, während Devin (der weltweit erste KI-Software-Ingenieur) Ihnen hilft, Aufgaben an Flotten autonomer Agenten zu delegieren, was letztendlich das Output-Volumen pro Ingenieur vervielfacht.
Während eine erhöhte Entwicklungsgeschwindigkeit den Kern des Wertversprechens dieser KI-Tools bildet, möchten sicherheitsbewusste Kunden sicherstellen, dass die Verwendung von KI-Tools keine zusätzlichen Risiken birgt. Die Minderung unbeabsichtigter Folgen wie Fehlkonfigurationen, Schwachstellen oder Exploits ist entscheidend, um sicherzustellen, dass Sie mit der Geschwindigkeit der Innovation sicher bleiben können. Hier kommen dedizierte Entwickler-Sicherheitsplattformen wie Aikido Security ins Spiel.
Dieser Artikel untersucht, wie Sicherheit direkt in Ihren KI-gestützten SDLC und Ihre Entwicklungspipelines eingebettet werden kann, mithilfe von Tools wie Windsurf (KI-gestützte IDE), Aikido (entwicklerzentrierte Sicherheit) und Devin (autonomer Agent). Zusammen sorgen die richtigen Tools, Menschen und Prozesse dafür, dass Sie Software effizient und mit einer hohen Sicherheitsposition entwickeln.
Warum Ihr SDLC ein sicherheitsorientiertes Fundament benötigt
Ohne eine starke Sicherheitsposition stehen Organisationen Risiken gegenüber, mit oder ohne KI-Tools. Dazu gehören unter anderem:
- Datenlecks
- Insider-Bedrohungen
- Software-Lieferkettenangriffe
- Adversarial Exploits
Viele Unternehmen haben DevSecOps- oder SecDevOps-Prozesse eingeführt, um Sicherheitspraktiken über die gesamte Entwicklungspipeline hinweg zu integrieren. Sicherzustellen, dass Sicherheitsmaßnahmen vorausschauend und nicht nachträglich berücksichtigt werden, schützt vor finanziellen Verlusten, regulatorischen Strafen und Reputationsschäden.
KI-Systeme sind sehr intelligent, wenn sie die richtige Kontextsensitivität und Prompt Engineering integrieren. KI-Angebote wie Windsurf und Devin ermöglichen es Kunden, angepasstes Verhalten für die KI zu definieren, um Sicherheitsbedenken proaktiv und reaktiv anzugehen. Wenn Sie Ihre KI-Agenten mit Kontext und Tools aus Sicherheitsangeboten wie Aikido erweitern, erschließen Sie Vorteile wie das Shifting Left der Sicherheit, das Echtzeit-Triage von Schwachstellen mit einem autonomen Agenten und die Reifung Ihrer gesamten DevSecOps-Pipeline.
KI-gestützte IDEs: Wo sichere Entwicklung beginnt
Windsurf integriert Cascade, einen kollaborativen KI-Agenten, direkt in Ihre IDE, um Störungen normaler Entwicklungsprozesse zu minimieren. Der Agent kann im Windsurf Editor (basierend auf VS Code) oder als Plugin für die JetBrains IDE-Suite verwendet werden.
.gif)
Cascade versteht den Kontext Ihrer Codebasis, kann Multi-File-Bearbeitungen planen und implementieren und Inline-Code-Vorschläge bereitstellen. Entscheidend ist, dass Windsurf im Kern mit der Human-in-the-Loop-Philosophie entwickelt wurde, um sich gegen vollständig autonome KI in einer traditionell praktischen Entwicklungsumgebung abzusichern.
Da Entwickelnde ihre Workflows und die Zusammenarbeit mit der KI steuern, realisieren Entwickelnde die Vorteile der agentenbasierten Softwareentwicklung, ohne die Kontrolle aufzugeben. Der Mensch kann von der KI vorgeschlagene Änderungen Code-Snippet für Code-Snippet überprüfen und optional zu früheren Checkpoints in ihrer Konversation zurückkehren. Die nahtlose Partnerschaft zwischen menschlichem Entwickler und Coding-Agent schafft einen intuitiven Workflow, der Ihre Sicherheit und Effizienz verbessern kann.
Windsurf verbessert Cascade weiter, indem es Mechanismen bereitstellt, mit denen Benutzer einzigartige Standards und Sicherheitspraktiken für ihre tägliche Entwicklung für den KI-Agenten definieren können. Mit Windsurf Customizations passt sich Cascade an teamspezifische Richtlinien, Codierungsnormen und Implementierungsdetails an. Windsurf Rules ermöglichen es Ihnen, Stil und Struktur in Ihrem gesamten Arbeitsbereich zu kodifizieren, während Windsurf Workflows repetitive Prompting-Muster in wiederverwendbare, teilbare Playbooks verwandeln.
KI, die weiter angepasst und mit Sicherheitstools wie dem Aikido Windsurf-Plugin ausgestattet ist, hilft, dass von Benutzern geschriebene Software Ihren Sicherheitsstandards und Best Practices entspricht.
Autonome Agenten: Wie man zusätzliche KI-Softwareentwickelnde einsetzt
Während Entwickelnde für missionskritische und kreative Aufgaben stets unerlässlich sein werden, gewinnen autonome Agenten wie Devin zunehmend an Beliebtheit für klar definierte, repetitive Aufgaben. Devin kann als KI-Äquivalent eines Junior Software Engineers betrachtet werden, der elastisch skaliert, wenn sich Ihre Anforderungen an die Softwareentwicklung ändern.
Mithilfe von Devin führen Kunden groß angelegte Migrationen in Rekordzeit durch, arbeiten den endlosen Rückstand an Bugs und Feature Requests ab und priorisieren automatisch erkannte Schwachstellen.
Insgesamt hilft Devin Organisationen, schneller voranzukommen, indem es die Belastung bestehender Entwicklungsteams reduziert, und Organisationen vertrauen Devin aufgrund seiner Sorgfalt beim Ausführen von Tests und lokalen Sicherheitsscanning-Tools, bevor Pull Requests initiiert werden.
Da Devin für eine 1:M-Arbeitsweise konzipiert ist, ist es in bestehende Kollaborationssysteme wie Jira, Slack und Linear integriert, wo es zugewiesene Aufgaben empfangen kann. Sobald Devin seine Aufgabe abgeschlossen hat, erstellt es einen Pull Request und ein Audit-Log seiner gesamten Recherche und Arbeit, damit Entwickelnde die Session überprüfen können. Zusätzlich kann die Überprüfung der resultierenden Pull Requests in ihrem Source Code Management Tool mit Sicherheitstools wie Aikido dazu beitragen, das Vertrauen in die Auslieferung des Code-Outputs zu erhöhen.
Ihre Ingenieure können sich nun auf mehrdeutige oder risikoreiche Aufgaben konzentrieren, während Ihre Agentenflotte auf Feature Requests, Bugs und identifizierte Sicherheitslücken von Sicherheitssystemen wie Aikido reagiert.
Die Rolle von Aikido
Während man in KI-gestützten IDEs schnell vorankommt und die Softwareentwicklung mit autonomen Agenten orchestriert, stellt Aikido sicher, dass Geschwindigkeit nicht auf Kosten der Sicherheit geht.
In jeder Entwicklungsumgebung, selbst in solchen, die durch KI erweitert werden, treten unweigerlich Sicherheitslücken auf. Eine committete Konfigurationsdatei könnte einen Test-API-Schlüssel enthalten. Dockerfiles, die für lokale Tests verwendet werden, könnten unbeabsichtigt weitreichenden Netzwerkzugriff im Staging-Bereich offenlegen. KI-generierte Routen, die für Scaffolding gedacht sind, können ohne Authentifizierung in die Produktion gelangen. Infrastructure-as-Code-Templates könnten den Zugriff übermäßig bereitstellen. Selbst kleine Details wie ausführliche Stack Traces oder hartcodierte Test-Anmeldeinformationen können zu realen Schwachstellen führen.
Deshalb basiert Aikido auf der Prämisse, Software überall dort zu sichern, wo Sie sie erstellen, hosten und ausführen, und Schwachstellen jeder Größe zu erkennen, bevor sie zu Incidents werden.
In der Praxis bedeutet das, dass Aikido sich mit Ihren Entwicklungstools und -umgebungen verbindet, von IDEs und CI-Pipelines bis hin zu Build-Artefakten und Cloud-Infrastruktur, und kontinuierlich nach Schwachstellen sucht. Es liefert Feedback direkt in Ihren bestehenden Workflows, sei es durch das Erkennen von Secrets vor einem Commit, das Blockieren von CI-Builds bei kritischen Problemen oder das Aufzeigen von Abhängigkeitsrisiken in einem Pull Request. Aikido wendet seine eigene KI an, um Rauschen zu filtern, hochwirksame Ergebnisse zu priorisieren und Schwachstellen über den gesamten SDLC hinweg automatisch zu beheben.
Indem Aikido Entwickelnde dort abholt, wo sie bereits arbeiten, erleichtert es das Handeln, ohne den Entwicklungsfluss zu unterbrechen. Durch das frühzeitige Erkennen von Problemen in jedem Schritt und sogar in Echtzeit können sich Teams auf das konzentrieren, was sie am besten können: großartige Software ausliefern. Teams können mit der vollen Geschwindigkeit der KI-gestützten Entwicklung voranschreiten, zuversichtlich in die Sicherheit des Codes, den sie schreiben, generieren und ausliefern.
Wie man Windsurf und Aikido verwendet
Die Erweiterung von Windsurf und Devin mit Aikido erfordert keine komplexe Einrichtung oder Integration. Wenn Aikido bereits mit Ihrem Remote-Repo verbunden ist, überwacht es Commits und Pull Requests, unabhängig davon, ob der Code in Windsurf, von Devin oder von einem Entwickelnden in Notepad ++ entwickelt wurde.
So können Sie die beiden Tools zusammen verwenden:
1. In der IDE: Smarter und sicherer coden
Windsurf bringt KI in Ihre IDE. Aikido bringt auch Sicherheit dorthin. Unabhängig davon, ob der Code von Ihnen oder einem KI-Agenten stammt, stellt Aikido sicher, dass der Working Tree Ihre Sicherheitsstandards in Echtzeit erfüllt, indem es Ihnen hilft:
- Geleakte Secrets erkennen, wie Tokens oder Anmeldeinformationen, bevor sie committet werden
- Riskante Logik kennzeichnen, wie rohes SQL, Shell-Aufrufe oder schwache Eingabevalidierung
- Anfällige Abhängigkeiten hervorheben, wie Open-Source-Bibliotheken
Mit Aikido, das in die IDE integriert ist, erhalten Sie sofortiges Feedback ohne Kontextwechsel, bleiben im Flow und verbessern gleichzeitig die Sicherheit.
2. In CI und PRs: Ein zweites Paar Augen
Nachdem Code den Editor verlassen hat, überwacht Aikido Ihre CI-Pipelines und Pull Requests. Es scannt alle Änderungen, unabhängig davon, wer oder was den Code geschrieben hat, und hilft Ihnen dabei:
- Bekannte Schwachstellen in Code und Abhängigkeiten erneut prüfen
- Änderungen an Infrastruktur- oder Service-Konfigurationen validieren
- Merges blockieren, wenn kritische Probleme gefunden werden
- Niedrigprioritäres Rauschen herausfiltern, damit Sie nur sehen, was wichtig ist
Ergebnisse erscheinen inline im Pull Request oder in CI-Status-Checks. Das war's, es ist keine zusätzliche Konfiguration erforderlich!
3. Zur Build-Zeit: Prüfen, was Sie ausliefern
Sicherheit geht über den Quellcode hinaus. Beim Erstellen von Containern oder Paketen verlagert Aikido den Fokus auf die tatsächlich erzeugten Artefakte durch:
- Scannen von Images nach veralteten Systempaketen und gängigen Schwachstellen
- Markieren von Bibliotheken, die durch Codegenerierung oder kopierte Beispiele eingeführt wurden
- Prüfen von gebündeltem Code auf Lizenzrisiken vor der Veröffentlichung
- Funktioniert, ohne dass Sie deklarieren müssen, was KI-generiert wurde
Hier treten häufig Probleme auf, die von automatisch inkludierten Paketen oder template-basiertem Scaffolding stammen, das aus Abhängigkeiten von Drittanbieteranwendungen resultiert.
4. Nach dem Deploy: Die Cloud überwachen
Aikido überwacht die Umgebung, in der Ihre App läuft, und prüft auf häufige Konfigurationsfehler durch:
- Validierung des Cloud-Setups über AWS, GCP und Azure hinweg
- Erkennung von exponierten Diensten, öffentlichen Buckets und schwachen Berechtigungen
- Prüfung von Kubernetes-, Netzwerk- und Deployment-Konfigurationen
- Keine Agents erforderlich und nichts zu installieren
Dies ist besonders nützlich, wenn von KI generierter Infrastrukturcode ohne zweite Prüfung in Staging oder Produktion gelangt.
5. In Produktion: Tests wie ein Angreifer
Aikido kann reale Tests gegen Ihre Anwendung durchführen, während sie live ist, genau wie es ein Benutzer oder Angreifer tun würde. Aikido kann:
- Routen und Funktionen mit gültigen Anmeldeinformationen testen
- Injektionsrisiken, exponierte Endpunkte und fehlende Zugriffskontrollen finden
- Undokumentierte oder unbeabsichtigt exponierte APIs erkennen
- Verdächtigen Traffic zur Laufzeit blockieren, falls aktiviert
Hier fangen Sie Probleme ab, die während des Code-Reviews nicht sichtbar waren, aber im Verhalten der App im Live-Betrieb auftreten.
Letztendlich, unabhängig von der Ursache der Sicherheitslücke, sollten Sie einen optimierten Reaktionsplan haben, der die Sicherheit so früh wie möglich in den Entwicklungsprozess verlagert. Aikido ist dazu da, die Probleme aufzudecken und Ihnen zu helfen, das Risiko zu beheben, indem Sie Ihren Quellcode manuell in Anwendungen wie dem Windsurf Editor oder über Devin aktualisieren.
Nächste Schritte
Wenn Sie bereit sind, diese Ideen in die Praxis umzusetzen, empfehlen wir die folgenden Ausgangspunkte, um zu verstehen, wie Sie KI-Funktionen nutzen können, um sichere Software und Anwendungen zu entwickeln:
- Starten Sie mit Windsurf: https://www.windsurf.com/university
- Scannen Sie Ihren Code mit Aikido: https://integrations.aikido.dev/integrations/windsurf
- Sehen Sie sich Devins DeepWiki-Funktion für öffentliche Repositories unter deepwiki.com an
- Starten Sie mit Devin unter app.devin.ai
- Informieren Sie sich über Aikidos Sichere Entwicklungspraktiken: https://www.aikido.dev/learn/secure-development
- Sehen Sie sich das Webinar von Aikido zum sicheren Vibe Coding an: https://www.youtube.com/watch?v=xGDYPRPoFPA
Ein abschließender Gedanke
KI ersetzt nicht die Entwickelnde, sondern erweitert sie. Doch Geschwindigkeit ohne Sicherheit ist ein berechtigter Grund zur Innehalten, daher empfehlen wir Ihnen, Ihre Sicherheitsmechanismen zu verbessern, bevor Sie die Geschwindigkeit maximieren. Sichere Anwendungen entstehen nicht zufällig; sie sind das Ergebnis einer Kombination aus durchdachtem Design, leistungsfähigen Tools und der Priorisierung durch Menschen.
Die Integration von Sicherheit in jeden Schritt, vom Prompt bis zur Produktion, ist ein entscheidender Faktor, um Teams dabei zu helfen, schneller und sicherer auszuliefern.
