Blog

Software ontwikkeling met AI: snelheid en veiligheid in balans

Opkomst AI

De opkomst van AI heeft de wereld van softwareontwikkeling veranderd.
Nieuwe AI-modellen (LLM’s) maken het mogelijk om sneller dan ooit software te bouwen, met name Minimum Viable Products (MVPs). Tools zoals Bolt, Lovable en Replit zijn razend populair en versnellen dit proces verder.
 

Snel een applicatie, geweldig toch?

Allemaal geweldig hoe snel een applicatie nu gemaakt kan worden. Het maakt ons productiever en efficiënter. Er schuilt alleen ook een gevaar. Omdat het steeds makkelijker wordt, is de verleiding groot om stappen over te slaan. AI doet al het werk en wij hopen op het beste. AI zal het toch altijd wel goed doen?

Helaas niet altijd. Het leidt vaak tot rommelige code (“messy code”) en onvoldoende foutafhanding (“error handling”). Daarnaast wordt de beveiliging vaak over het hoofd gezien. Dit kan pijnlijke gevolgen hebben,
zoals een ontwikkelaar ondervond die wat websites onder de loep heeft genomen, die gemaakt zijn met zo’n snelle AI tool, Lovable:

Hier boven een voorbeeld van Bolt, een AI tool.

Hier boven een bericht van iemand die het hackte

$733 verlies!

Of deze ontwikkelaar die gebruik maakte van Devin AI, een AI agent. Een AI agent is een AI die volledig je workflow overneemt en het autonoom uitvoert. Devin maakte een foutje en dat leidde tot 6,6 miljoen onnodige events bij een externe service, met een rekening van $733 tot gevolg. Pijnlijk!

De kosten van onveiligheid

Op https://serverlesshorrors.com/ staan nog meer verhalen van torenhoge rekeningen aan externe services door onvoorziene omstandigheden, of vaker nog, door onvoldoende beveiliging. Er is dus onvoldoende nagedacht of toegepast om de beveiliging en schaalbaarheid van een applicatie te verzekeren. Oorzaken zijn bijvoorbeeld:

- Ongewenste database injecties: code wordt ingevoerd om toegang te krijgen tot je data.
- Onveilige API handling: slecht beveiligde toegangspoorten tot je systeem of data.
- Zwakke authenticatie: te makkelijk om binnen de applicatie te komen.
- DdoS aanvallen: je server wordt platgelegd door een stortvloed aan verzoeken.
- Broken access control: gebruikers kunnen toegang krijgen tot data of acties waarvoor ze geen toegang hebben.

2. Beveiliging in de codebase:

Naast de bescherming van het hosting platform, is beveiliging in de codebase van de applicatie zelf ook noodzakelijk.

○ Rate Limiting: beperkt het aantal verzoeken per gebruiker om overbelasting te voorkomen.
○ Input Validatie: controleert alle invoer (zowel aan de voorkant als achterkant) op gevaarlijke code.
○ Caching: slaat data slim op om onnodige (en dure) database verzoeken te vermijden en de snelheid te vergroten.
○ Beveiligde Keys: gevoelige API-sleutels worden veilig opgeborgen, niet zomaar in de code gezet.
○ Tweestapsverifi catie (2FA): een extra laag beveiliging bij het inloggen.
○ Row-Level Security (RLS): zorgt ervoor dat gebruikers in de database alleen toegang hebben tot de data die voor hen bestemd is.
○ Logging & testing: helpt potentiële fouten op te sporen voordat de applicatie live gaat.

Voorbereiding is key

Beveiliging hoort geen bijzaak te zijn, maar moet vanaf het begin meegenomen worden. Een goede voorbereiding en planning is essentieel. Bij LumenApps wordt er gebruik gemaakt van Markdown (.md) bestanden om de architectuur, workflow en planning helder te documenteren.

Resultaat?

Door snelheid van AI te combineren met een doordachte aanpak van beveiliging, zijn applicaties niet alleen veilig, maar kunnen ze ook snel live en zijn ze schaalbaar.

Zo kan jouw startup of idee groeien en wordt een hoop stress bespaard. Bouw slim, Bouw veilig!
Zelf een idee of een tool nodig die snel en veilig ontwikkeld moet worden?