A IA facilitou a entrega de software em dias, em vez de meses. Essa velocidade é um presente, mas também muda onde a segurança reside e quão rapidamente o risco pode entrar em seu aplicativo. Nesta Masterclass Aikido, Bill Harmer (CISO, Supabase) e Igor Andriushchenko (CISO, Lovable) compartilharam o que é preciso para manter a velocidade sem perder o controle. Este resumo captura as partes que todo desenvolvedor deve aplicar agora mesmo.
Construa a segurança desde o início
A Lovable ajuda você a passar da ideia à interface rapidamente. A Supabase oferece a base de backend e banco de dados. Bill começou com um lembrete que importa mais do que qualquer escolha de ferramenta: segurança é uma decisão de design, não um patch de estágio final.
“A segurança é entregue por design, não adicionada posteriormente.” - Bill Harmer, CISO Supabase
Quando as fundações são seguras, tudo acima delas permanece mais calmo. Mantenha a lógica sensível e o acesso a dados no backend, apoie-se em padrões seguros em vez de implementar sua própria autenticação, e evite empurrar correções rápidas para o navegador apenas para desbloquear uma build.
Use o que as plataformas oferecem
As equipes frequentemente reconstroem controles que já existem dentro de sua stack. Supabase e Lovable são entregues com guardrails que economizam meses de trabalho se você simplesmente ativá-los e usá-los como pretendido.
“Construímos a Supabase para que as equipes herdem controles de nível empresarial desde o primeiro dia.” - Bill Harmer, CISO Supabase
Autenticação, permissões, políticas de armazenamento e criptografia já estão lá. O trabalho é configurá-los e respeitá-los, não substituí-los por algo mais arriscado.
Não pule o Row Level Security
A Segurança em Nível de Linha (RLS) é simples, poderosa e muitas vezes ignorada. Ela decide exatamente quais linhas um usuário pode ver ou alterar. Sem ela, o raio de impacto é a tabela inteira.
“Se você não fizer mais nada, habilite e configure o Row Level Security.” - Bill Harmer, CISO Supabase
Lovable habilita o RLS por padrão, mas você ainda precisa escrever e testar as políticas. Trate o RLS como um cinto de segurança. Você só percebe que está faltando quando é tarde demais.
A segurança te desacelera um pouco, e tudo bem.
Adicionar verificações pode quebrar algo. Isso é normal. O ponto de Igor não era evitar atrito, mas tratá-lo como um sinal de que você está fazendo o trabalho certo.
“Segurança não é gratuita. A recompensa é tranquilidade e menos incidentes.” - Igor Andriushchenko, CISO Lovable
Se uma regra bloqueia um caminho, corrija o caminho em vez de remover a regra. Horas investidas agora evitam dias de limpeza depois. Velocidade real é implantar com confiança.
Pense em camadas
Não há um único recurso que proteja um aplicativo. Boa segurança é um conjunto de pequenos controles que corrigem as falhas uns dos outros.
“Pense em camadas. Cada camada deve falhar fechada.” - Igor Andriushchenko, CISO Lovable
Use MFA e acesso baseado em função. Envie lógica sensível para edge functions. Aplique RLS no banco de dados. Escaneie por Secrets e vulnerabilidades antes do merge. Monitore o tráfego em runtime e defina limites de taxa. Cada camada reduz o impacto quando algo escapa.
Desenvolvedores estão se tornando builders
A IA mudou o ofício. O valor está menos em digitar e mais em moldar sistemas que se sustentam sob mudança.
“Contrate builders. Pessoas que resolvem problemas com sistemas. A ferramenta é secundária.” - Igor Andriushchenko, CISO Lovable
Builders entendem limites, fluxo de dados e pontos de falha. Eles sabem o que pertence ao navegador, o que permanece na edge e o que o banco de dados deve impor. Essa mentalidade impede que riscos sutis se tornem incidentes públicos.
Dê guardrails à IA
Grandes modelos de linguagem são construídos para fazer o código rodar. Se uma restrição parece ser a causa de uma falha, o modelo tentará removê-la. Isso pode ser uma verificação de segurança.
“A IA removerá restrições para fazer o código rodar, a menos que você diga para não fazê-lo.” - Igor Andriushchenko, CISO Lovable
Defina regras antes de gerar. Mantenha Secrets fora do navegador. Deixe as funções de edge lidarem com a lógica sensível. Deixe o banco de dados impor RLS. Peça à IA para ajudar a construir, não para decidir o que é seguro.
Entregue com o básico garantido
O lembrete final de Bill foi para confiar em padrões seguros e verificar os fundamentos antes do lançamento.
“Padrões seguros tornam tudo mais fácil.” - Bill Harmer, CISO da Supabase
Ative e teste o RLS. Habilite MFA. Mantenha os Secrets fora dos repositórios. Adicione limites de taxa e proteção contra bots para endpoints públicos. Separe os ambientes de staging e production. Revise logs e alertas. Automatize varreduras na CI. Esses passos são simples e são eles que evitam manchetes.
A principal conclusão
Rápido não precisa significar frágil. Lovable permite que você construa rapidamente. Supabase oferece uma base segura. Aikido conecta tudo, encontrando e corrigindo riscos em seu código, Cloud e runtime para que você possa continuar lançando sem duvidar do que perdeu.
Se você quer uma lista prática que pode implementar hoje, comece com o Vibe Coder’s Security Checklist.
Assista à gravação completa da Masterclass para ouvir diretamente dos CISOs.
