KI hat es einfach gemacht, Software in Tagen statt in Monaten auszuliefern. Diese Geschwindigkeit ist ein Geschenk, aber sie verändert auch, wo Sicherheit angesiedelt ist und wie schnell Risiken in Ihre App gelangen können. In dieser Aikido Masterclass teilten Bill Harmer (CISO, Supabase) und Igor Andriushchenko (CISO, Lovable), was es braucht, um die Geschwindigkeit beizubehalten, ohne die Kontrolle zu verlieren. Diese Zusammenfassung enthält die Punkte, die jeder Entwickler sofort anwenden sollte.
Sicherheit von Anfang an integrieren
Lovable hilft Ihnen, schnell von der Idee zur Oberfläche zu gelangen. Supabase bietet Ihnen das Backend und die Datenbankgrundlage. Bill begann mit einer Erinnerung, die wichtiger ist als jede Tool-Wahl: Sicherheit ist eine Designentscheidung, kein nachträglicher Patch.
“Sicherheit wird durch Design geliefert, nicht nachträglich angeflanscht.” - Bill Harmer, CISO Supabase
Wenn die Grundlagen sicher sind, bleibt alles darüber ruhiger. Halten Sie sensible Logik und Datenzugriff im Backend, verlassen Sie sich auf sichere Standardeinstellungen, anstatt Ihre eigene Authentifizierung zu entwickeln, und vermeiden Sie es, schnelle Korrekturen in den Browser zu pushen, nur um einen Build zu entsperren.
Nutzen Sie, was die Plattformen Ihnen bieten
Teams bauen oft Kontrollen neu auf, die bereits in ihrem Stack vorhanden sind. Supabase und Lovable liefern Leitplanken mit, die monatelange Arbeit ersparen, wenn Sie sie einfach aktivieren und wie vorgesehen nutzen.
“Wir bauen Supabase so, dass Teams von Tag eins an Kontrollen auf Enterprise-Niveau erben.” - Bill Harmer, CISO Supabase
Authentifizierung, Berechtigungen, Speicherrichtlinien und Verschlüsselung sind bereits vorhanden. Die Aufgabe ist es, sie zu konfigurieren und zu respektieren, nicht sie durch etwas Riskanteres zu ersetzen.
Überspringen Sie nicht Row Level Security
Row Level Security (RLS) ist einfach, leistungsstark und wird zu oft ignoriert. Es entscheidet genau, welche Zeilen ein Benutzer sehen oder ändern kann. Ohne sie ist der "Blast Radius" die gesamte Tabelle.
“Wenn Sie nichts anderes tun, aktivieren und konfigurieren Sie Row Level Security.” - Bill Harmer, CISO Supabase
Lovable aktiviert RLS standardmäßig, aber Sie müssen die Richtlinien immer noch schreiben und testen. Behandeln Sie RLS wie einen Sicherheitsgurt. Sie bemerken erst, dass er fehlt, wenn es zu spät ist.
Sicherheit verlangsamt Sie ein wenig, und das ist in Ordnung.
Das Hinzufügen von Checks kann etwas kaputtmachen. Das ist normal. Igor wollte damit nicht sagen, dass man Reibung vermeiden sollte, sondern dass man sie als Zeichen dafür sehen sollte, dass man die richtige Arbeit leistet.
„Sicherheit ist nicht kostenlos. Der Lohn sind Seelenfrieden und weniger Vorfälle.“ – Igor Andriushchenko, CISO Lovable
Wenn eine Regel einen Pfad blockiert, beheben Sie den Pfad, anstatt die Regel zu entfernen. Jetzt investierte Stunden sparen Tage späterer Bereinigung. Echte Geschwindigkeit bedeutet, mit Vertrauen zu deployen.
Denken Sie in Schichten
Es gibt keine einzelne Funktion, die eine App schützt. Gute Sicherheit ist ein Stack kleiner Kontrollen, die die Fehler des jeweils anderen auffangen.
„Denken Sie in Schichten. Jede Schicht sollte „fail closed“ sein.“ – Igor Andriushchenko, CISO Lovable
Nutzen Sie MFA und rollenbasierten Zugriff. Verlagern Sie sensible Logik in Edge Functions. Erzwingen Sie RLS auf der Datenbank. Scannen Sie nach Secrets und Schwachstellen vor dem Merge. Überwachen Sie den Runtime-Traffic und setzen Sie Rate Limits. Jede Schicht reduziert die Auswirkungen, wenn etwas durchrutscht.
Entwickelnde werden zu Buildern
KI hat das Handwerk verändert. Der Wert liegt weniger im Tippen und mehr im Gestalten von Systemen, die Veränderungen standhalten.
„Stellen Sie Builder ein. Menschen, die Probleme mit Systemen lösen. Das Tool ist zweitrangig.“ – Igor Andriushchenko, CISO Lovable
Builder verstehen Grenzen, Datenflüsse und Fehlerpunkte. Sie wissen, was in den Browser gehört, was am Edge bleibt und was die Datenbank erzwingen muss. Diese Denkweise verhindert, dass subtile Risiken zu öffentlichen Vorfällen werden.
Geben Sie der KI Leitplanken
Große Sprachmodelle sind darauf ausgelegt, Code zum Laufen zu bringen. Wenn eine Einschränkung wie der Grund für einen Fehler aussieht, wird das Modell versuchen, sie zu entfernen. Das kann ein Security Check sein.
„KI wird Einschränkungen entfernen, um Code zum Laufen zu bringen, es sei denn, Sie weisen sie an, dies nicht zu tun.“ – Igor Andriushchenko, CISO Lovable
Legen Sie Regeln fest, bevor Sie generieren. Halten Sie Secrets aus dem Browser fern. Lassen Sie Edge Functions sensible Logik verarbeiten. Lassen Sie die Datenbank RLS erzwingen. Bitten Sie die KI, Ihnen beim Bauen zu helfen, nicht zu entscheiden, was sicher ist.
Liefern Sie mit abgedeckten Grundlagen aus
Bills letzte Erinnerung war, sich auf sichere Standardeinstellungen zu verlassen und die Grundlagen vor der Veröffentlichung zu überprüfen.
„Sichere Standardeinstellungen machen alles einfacher.“ – Bill Harmer, CISO Supabase
Aktivieren und testen Sie RLS. Aktivieren Sie MFA. Halten Sie Secrets aus Repositories fern. Fügen Sie Rate Limits und Bot-Schutz für öffentliche Endpunkte hinzu. Trennen Sie Staging und Produktion. Überprüfen Sie Logs und Alerts. Automatisieren Sie Scans in CI. Diese Schritte sind einfach, und sie sind es, die Schlagzeilen verhindern.
Das Fazit
Schnell muss nicht gleich fragil bedeuten. Lovable ermöglicht Ihnen schnelles Bauen. Supabase bietet Ihnen eine sichere Grundlage. Aikido verbindet alles, indem es Risiken in Ihrem Code, Ihrer Cloud und Ihrer Runtime findet und behebt, sodass Sie weiter shippen können, ohne zu hinterfragen, was Sie übersehen haben.
Wenn Sie eine praktische Liste wünschen, die Sie heute umsetzen können, beginnen Sie mit der Vibe Coder’s Security Checklist.
Sehen Sie sich die vollständige Masterclass-Aufzeichnung an, um es direkt von den CISOs zu hören.
