La IA ha facilitado el envío de software en cuestión de días en lugar de meses. Esa velocidad es una ventaja, pero también cambia el lugar donde reside la seguridad y la rapidez con la que los riesgos pueden entrar en su aplicación. En esta clase magistral de Aikido, Bill Harmer (CISO, Supabase) e Igor Andriushchenko (CISO, Lovable) compartieron lo que se necesita para mantener la velocidad sin perder el control. Este resumen recoge los aspectos que todo desarrollador debería aplicar ahora mismo.
Incorpore la seguridad desde el principio.
Lovable te ayuda a pasar rápidamente de la idea a la interfaz. Supabase te proporciona la base del backend y la base de datos. Bill comenzó recordando algo más importante que cualquier elección de herramientas: la seguridad es una decisión de diseño, no un parche de última hora.
«La seguridad se integra desde el diseño, no se añade posteriormente». - Bill Harmer, director de seguridad de la información de Supabase.
Cuando los cimientos son sólidos, todo lo que hay encima permanece más estable. Mantenga la lógica sensible y el acceso a los datos en el backend, apóyese en los valores predeterminados seguros en lugar de crear su propia autenticación y evite introducir soluciones rápidas en el navegador solo para desbloquear una compilación.
Utiliza lo que te ofrecen las plataformas.
Los equipos suelen reconstruir controles que ya existen dentro de su pila. Supabase y Lovable incluyen medidas de seguridad que permiten ahorrar meses de trabajo si simplemente se activan y se utilizan según lo previsto.
«Creamos Supabase para que los equipos hereden controles de nivel empresarial desde el primer día». - Bill Harmer, director de seguridad de la información de Supabase.
La autenticación, los permisos, las políticas de almacenamiento y el cifrado ya están ahí. La tarea consiste en configurarlos y respetarlos, no en sustituirlos por algo más arriesgado.
No omita la seguridad a nivel de fila.
La seguridad a nivel de fila (RLS) es sencilla, potente y, con demasiada frecuencia, ignorada. Decide exactamente qué filas puede ver o modificar un usuario. Sin ella, el radio de impacto es toda la tabla.
«Si no haces nada más, habilita la seguridad a nivel de fila y configúrala». - Bill Harmer, CISO de Supabase
Lovable habilita RLS de forma predeterminada, pero aún así es necesario redactar y probar las políticas. Considere RLS como un cinturón de seguridad. Solo se da cuenta de que falta cuando ya es demasiado tarde.
La seguridad te ralentiza un poco, y eso está bien.
Añadir comprobaciones puede provocar errores. Eso es normal. La idea de Igor no era evitar la fricción, sino considerarla como una señal de que estás haciendo el trabajo correcto.
«La seguridad no es gratuita. La recompensa es la tranquilidad y menos incidentes». - Igor Andriushchenko, director de seguridad de la información de Lovable.
Si una regla bloquea una ruta, corrige la ruta en lugar de eliminar la regla. Es mejor dedicar unas horas ahora a limpiar que días más adelante. La verdadera velocidad es implementar con confianza.
Piensa por capas
No existe una única característica que proteja una aplicación. Una buena seguridad es un conjunto de pequeños controles que se complementan entre sí.
«Piensa por capas. Cada capa debe fallar cerrada». - Igor Andriushchenko, CISO Lovable
Utilice la autenticación multifactorial (MFA) y el acceso basado en roles. Incorpore lógica sensible en las funciones periféricas. Aplique RLS en la base de datos. Busque secretos y vulnerabilidades antes de la fusión. Supervise el tráfico en tiempo de ejecución y establezca límites de velocidad. Cada capa reduce el impacto cuando se produce un fallo.
Los desarrolladores se están convirtiendo en constructores.
La IA ha cambiado el oficio. El valor ya no reside tanto en escribir como en crear sistemas que resistan los cambios.
«Contrata a constructores. Personas que resuelven problemas con sistemas. La herramienta es secundaria». - Igor Andriushchenko, CISO Lovable
Los desarrolladores entienden los límites, el flujo de datos y los puntos de fallo. Saben lo que pertenece al navegador, lo que permanece en el borde y lo que debe aplicar la base de datos. Esa mentalidad evita que los riesgos sutiles se conviertan en incidentes públicos.
Establecer límites para la IA
Los modelos de lenguaje grandes se crean para ejecutar código. Si una restricción parece ser la causa de un fallo, el modelo intentará eliminarla. Eso puede ser una comprobación de seguridad.
«La IA eliminará las restricciones para que el código se ejecute, a menos que le indiques lo contrario». - Igor Andriushchenko, director de seguridad de la información de Lovable.
Establezca reglas antes de generar. Mantenga los secretos fuera del navegador. Deje que las funciones periféricas se encarguen de la lógica confidencial. Deje que la base de datos aplique RLS. Pida ayuda a la IA para crear, no para decidir qué es seguro.
Envío con lo básico incluido
El último recordatorio de Bill fue confiar en los valores predeterminados seguros y verificar los aspectos fundamentales antes del lanzamiento.
«Los valores predeterminados seguros facilitan todo». - Bill Harmer, director de seguridad de la información de Supabase.
Activa y prueba RLS. Habilita MFA. Mantén los secretos fuera de los repositorios. Añade límites de velocidad y protección contra bots los puntos finales públicos. Separa el entorno de pruebas y el de producción. Revisa los registros y las alertas. Automatiza los escaneos en CI. Estos pasos son sencillos y son los que evitan los titulares.
La conclusión
Rápido no tiene por qué significar frágil. Lovable te permite crear rápidamente. Supabase te proporciona una base segura. Aikido lo une todo al detectar y corregir riesgos en tu código, nube y tiempo de ejecución para que puedas seguir trabajando sin tener que preocuparte por lo que te has podido pasar por alto.
Si quieres una lista práctica que puedas poner en práctica hoy mismo, empieza con la lista de verificación de seguridad de Vibe Coder.
Vea la grabación completa de la clase magistral para escucharla directamente de los CISO.
Protege tu software ahora.
.avif)
