Security Masterclass: Supabase und Lovable CISOs über schnelles Entwickeln und sicheres Bleiben

#Artikel

Veröffentlicht am:

13. Oktober 2025

Zuletzt aktualisiert am:

16. Oktober 2025

Dank KI ist es nun möglich, Software innerhalb weniger Tage statt Monate auszuliefern. Diese Geschwindigkeit ist ein Segen, verändert jedoch auch die Sicherheitslage und die Geschwindigkeit, mit der Risiken in Ihre App gelangen können. In dieser Aikido Bill Harmer (CISO, Supabase) und Igor Andriushchenko (CISO, Lovable) darüber, was nötig ist, um die Geschwindigkeit beizubehalten, ohne die Kontrolle zu verlieren. Diese Zusammenfassung fasst die Punkte zusammen, die jeder Entwickler sofort umsetzen sollte.

Sicherheit von Anfang an einbauen

Lovable hilft Ihnen dabei, Ihre Ideen schnell in eine Benutzeroberfläche umzusetzen. Supabase bietet Ihnen das Backend und die Datenbankgrundlage. Bill begann mit einer Erinnerung, die wichtiger ist als jede Tool-Auswahl: Sicherheit ist eine Designentscheidung und kein nachträglicher Patch.

„Sicherheit wird durch das Design gewährleistet und nicht nachträglich hinzugefügt.“ – Bill Harmer, CISO Supabase

Wenn die Grundlagen sicher sind, bleibt alles darüber ruhig. Behalten Sie sensible Logik und Datenzugriff im Backend, verlassen Sie sich auf sichere Standardeinstellungen, anstatt Ihre eigene Authentifizierung zu entwickeln, und vermeiden Sie es, schnelle Lösungen in den Browser zu integrieren, nur um einen Build freizugeben.

Nutzen Sie das, was Ihnen die Plattformen bieten.

Teams bauen häufig Kontrollen neu auf, die bereits in ihrem Stack vorhanden sind. Supabase und Lovable werden mit Schutzvorrichtungen ausgeliefert, die Ihnen Monate an Arbeit ersparen, wenn Sie sie einfach aktivieren und wie vorgesehen verwenden.

„Wir entwickeln Supabase, damit Teams vom ersten Tag an über Kontrollfunktionen auf Unternehmensniveau verfügen.“ – Bill Harmer, CISO Supabase

Authentifizierung, Berechtigungen, Speicherrichtlinien und Verschlüsselung sind bereits vorhanden. Die Aufgabe besteht darin, diese zu konfigurieren und einzuhalten, nicht sie durch etwas Riskanteres zu ersetzen.

Überspringen Sie nicht die Sicherheit auf Zeilenebene.

Die Zeilenebene-Sicherheit (Row Level Security, RLS) ist einfach, leistungsstark und wird allzu oft ignoriert. Sie legt genau fest, welche Zeilen ein Benutzer sehen oder ändern kann. Ohne sie umfasst der Explosionsradius die gesamte Tabelle.

„Wenn Sie sonst nichts tun, aktivieren Sie die Sicherheit auf Zeilenebene und konfigurieren Sie sie.“ – Bill Harmer, CISO Supabase

Lovable aktiviert RLS standardmäßig, aber Sie müssen dennoch die Richtlinien schreiben und testen. Behandeln Sie RLS wie einen Sicherheitsgurt. Man merkt erst, dass er fehlt, wenn es zu spät ist.

Sicherheit verlangsamt Sie ein wenig, und das ist in Ordnung.

Das Hinzufügen von Kontrollen kann zu Problemen führen. Das ist normal. Igors Argument war nicht, Reibungen zu vermeiden, sondern sie als Zeichen dafür zu betrachten, dass man die richtige Arbeit leistet.

„Sicherheit ist nicht kostenlos. Der Lohn dafür ist Seelenfrieden und weniger Zwischenfälle.“ – Igor Andriushchenko, CISO Lovable

Wenn eine Regel einen Pfad blockiert, korrigieren Sie den Pfad, anstatt die Regel zu entfernen. Stunden jetzt sind besser als Tage später für die Bereinigung. Echte Geschwindigkeit bedeutet, mit Zuversicht zu implementieren.

In Schichten denken

Es gibt keine einzelne Funktion, die eine App schützt. Gute Sicherheit besteht aus einer Reihe kleiner Kontrollen, die die Fehler der anderen auffangen.

„Denken Sie in Schichten. Jede Schicht sollte fehlersicher sein.“ – Igor Andriushchenko, CISO Lovable

Verwenden Sie MFA und rollenbasierten Zugriff. Verlagern Sie sensible Logik in Edge-Funktionen. Setzen Sie RLS in der Datenbank durch. Scannen Sie vor dem Zusammenführen nach secrets Schwachstellen. Überwachen Sie den Laufzeitverkehr und legen Sie Ratenbegrenzungen fest. Jede Ebene reduziert die Auswirkungen, wenn etwas schiefgeht.

Entwickler werden zu Bauherren

KI hat das Handwerk verändert. Der Wert liegt weniger im Tippen als vielmehr in der Gestaltung von Systemen, die Veränderungen standhalten.

„Stellen Sie Entwickler ein. Menschen, die Probleme mit Systemen lösen. Das Werkzeug ist zweitrangig.“ – Igor Andriushchenko, CISO Lovable

Entwickler verstehen Grenzen, Datenflüsse und Fehlerquellen. Sie wissen, was in den Browser gehört, was am Rand bleibt und was die Datenbank durchsetzen muss. Diese Denkweise verhindert, dass subtile Risiken zu öffentlichen Vorfällen werden.

Geben Sie KI Leitplanken

Große Sprachmodelle sind darauf ausgelegt, Code auszuführen. Wenn eine Einschränkung als Grund für einen Fehler erscheint, versucht das Modell, diese zu beseitigen. Das kann eine Sicherheitsüberprüfung sein.

„KI wird Einschränkungen beseitigen, damit Code ausgeführt wird, es sei denn, Sie weisen sie an, dies nicht zu tun.“ – Igor Andriushchenko, CISO Lovable

Legen Sie Regeln fest, bevor Sie generieren. Halten Sie secrets dem Browser secrets . Lassen Sie Edge-Funktionen sensible Logik verarbeiten. Lassen Sie die Datenbank RLS durchsetzen. Bitten Sie KI um Hilfe beim Aufbau, nicht um Entscheidungen darüber, was sicher ist.

Versand mit den Grundlagen abgedeckt

Bills letzte Mahnung lautete, sich auf sichere Standardeinstellungen zu verlassen und vor der Veröffentlichung die Grundlagen zu überprüfen.

„Sichere Standardeinstellungen machen alles einfacher.“ – Bill Harmer, CISO Supabase

Schalten Sie RLS ein und testen Sie es. Aktivieren Sie MFA. Bewahren Sie secrets von Repositorys auf. Fügen Sie Ratenbeschränkungen und Bot-Schutz öffentliche Endpunkte hinzu. Trennen Sie Staging und Produktion. Überprüfen Sie Protokolle und Warnmeldungen. Automatisieren Sie Scans in CI. Diese Schritte sind einfach und verhindern Schlagzeilen.

Das Fazit

Schnell muss nicht gleichbedeutend mit anfällig sein. Mit Lovable können Sie schnell entwickeln. Supabase bietet Ihnen eine sichere Grundlage. Aikido alles miteinander, indem es Risiken in Ihrem Code, Ihrer Cloud und Ihrer Laufzeitumgebung aufspürt und behebt, sodass Sie weiter liefern können, ohne sich Gedanken darüber machen zu müssen, was Sie übersehen haben.

Wenn Sie eine praktische Liste suchen, die Sie noch heute umsetzen können, beginnen Sie mit der Sicherheitscheckliste von Vibe Coder.

Sehen Sie sich die vollständige Aufzeichnung der Masterclass an , um direkt von den CISOs zu erfahren.

4.7/5

Sichern Sie Ihre Software jetzt.

Kostenlos starten

Ohne Kreditkarte

Demo buchen

Ihre Daten werden nicht weitergegeben · Nur Lesezugriff · Keine Kreditkarte erforderlich

Verfasst von

Trusha Sharma

Marketer

Springe zu:

Textlink

Von „No Bullsh*t Security“ zu 1 Milliarde Dollar: Wir haben gerade unsere Serie-B-Finanzierungsrunde in Höhe von 60 Millionen Dollar abgeschlossen.

Aikido eine Serie-B-Finanzierung in Höhe von 60 Millionen US-Dollar bei einer Bewertung von 1 Milliarde US-Dollar Aikido und treibt damit seine Vision von selbstsichernder Software und kontinuierlichen Penetrationstests voran.

Tags/

15. Dezember 2025

SAST der IDE ist jetzt kostenlos: SAST verlagern, wo die Entwicklung tatsächlich stattfindet

Führen Sie SAST direkt in Ihrer IDE mit Echtzeit-Feedback und projektweiter Transparenz durch. Verwenden Sie dieselben SAST und -Engine wie Aikido, mit optionaler AutoFix-Funktion für unterstützte Ergebnisse.

Tags/

28. November 2025

SCA : Scannen und Beheben von Open-Source-Abhängigkeiten in Ihrer IDE

Integrieren Sie den vollständigen SCA mit In-Editor-Scanning und AutoFix in Ihre IDE. Erkennen Sie anfällige Pakete, überprüfen Sie CVEs und führen Sie sichere Upgrades durch, ohne Ihren Entwicklungs-Workflow zu verlassen.

Tags/

Werden Sie jetzt sicher.

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Scanning starten

Ohne Kreditkarte

Demo buchen

Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.