ISMS Copilot
Engineering

Software Engineering, Geen Vibe Coding

ISMS Copilot is gebouwd met behulp van professionele software engineering-praktijken, niet met "vibe coding"-tools zoals Lovable of vergelijkbare AI-gestuurde no-code platforms. Hoewel AI-ondersteunde ontwikkeling een rol speelt in onze workflow, vertrouwen we op gestructureerde processen, rigoureuze testen en infrastructuur van productiekwaliteit om veiligheid, betrouwbaarheid en schaalbaarheid te garanderen voor compliance-kritische workloads.

Dit artikel behandelt vragen over onze ontwikkelingsmethodologie en legt uit waarom vibe coding niet geschikt is voor productie-compliance-software.

Wat is Vibe Coding?

Vibe coding verwijst naar AI-gestuurde no-code/low-code platforms zoals Lovable waarmee gebruikers apps kunnen bouwen via prompts in natuurlijke taal en visuele editors. Deze tools geven prioriteit aan snelheid en gebruiksgemak, waardoor niet-engineers snel prototypes kunnen maken door te beschrijven wat ze willen in plaats van code te schrijven.

Hoewel ze waardevol zijn voor snelle prototyping en eenvoudige apps, hebben vibe coding-tools kritieke beperkingen:

  • Focus op de frontend: De meeste tools genereren React/TypeScript UI-code, maar missen een geavanceerde backend-architectuur

  • Beperkte controle: Ontwikkelaars kunnen geen uitgebreide beveiligingsscans, aangepaste CI/CD-pipelines of omgevingsscheiding afdwingen

  • Tekortkomingen in testen: Unittesten, regressietesten en beveiligingsscans zijn vaak minimaal of afwezig

  • Gereedheid voor productie: Directe implementatie omzeilt kritieke validatie vóór productie die nodig is voor compliance-software

Vibe coding is een valstrik voor productieapplicaties. Het voordeel van snelheid verdwijnt zodra je complexe systemen die gevoelige gegevens verwerken moet refactoren, beveiligen, testen en onderhouden.

Hoe ISMS Copilot wordt gebouwd

Wij gebruiken een gedisciplineerde software development lifecycle (SDLC) met omgevingsscheiding, geautomatiseerd testen en beveiligingsscans in elke fase. Dit is hoe ons proces verschilt:

Ontwikkeling op basis van branches

Elke wijziging begint op een feature branch. Engineers committen nooit rechtstreeks naar staging of productie. Dit garandeert:

  • Code review vóór de merge

  • Geïsoleerd testen van wijzigingen

  • Mogelijkheid tot rollback als er problemen optreden

  • Traceerbare wijzigingsgeschiedenis via pull requests

Omgevingsscheiding

Wij onderhouden verschillende omgevingen met identieke configuraties:

  • Development branches: Lokale en geïsoleerde feature-tests

  • Staging: Een pre-productieomgeving die de productie-infrastructuur weerspiegelt (dezelfde databaseschema's, services en beveiligingsbeleid)

  • Production: De live omgeving voor gebruikers, die pas wordt geïmplementeerd na validatie op staging

Staging is zo identiek mogelijk aan productie. Hier testen we databasemigraties, API-wijzigingen en integraties van derden voordat een productie-implementatie plaatsvindt.

CI/CD Pipeline

Onze continuous integration and deployment pipeline voert geautomatiseerde controles uit bij elke pull request en implementatie:

  • Unit-tests: Op Vitest gebaseerde tests valideren UI-componenten en bedrijfslogica

  • Beveiligingsscans: Statische analyse (SAST) met Semgrep detecteert kwetsbaarheden vóór de merge

  • Regressietesten: Geautomatiseerde tests garanderen dat nieuwe wijzigingen de bestaande functionaliteit niet verbreken

  • 100% slaagvereiste: Implementaties mislukken en worden teruggedraaid als er ook maar één test faalt

GitHub Actions orkestreert deze workflows en handhaaft kwaliteitsdrempels die vibe coding-platforms niet kunnen bieden.

Wijzigingsplanning en impactanalyse

Voordat we functies implementeren, analyseren we:

  • Backend-impact: Hoe veranderen databaseschema's, API-contracten of integraties van derden?

  • Beveiligingsimplicaties: Introduceert dit nieuwe aanvalsoppervlakken of risico's op gegevensblootstelling?

  • Prestaties: Beïnvloedt dit de querytijden, de latentie van LLM-reacties of de gebruikerservaring?

  • Compliance-afstemming: Blijft hiermee de gereedheid voor GDPR, SOC 2 en ISO 27001 behouden?

Deze gestructureerde planning voorkomt de "move fast and break things"-mentaliteit die vibe coding aanmoedigt.

Voor compliance-software die audit-kritieke gegevens verwerkt, is gestructureerde planning geen ballast — het is risicobeheersing.

Beveiligings- en testpraktijken

Onze toewijding aan beveiliging gaat verder dan wat door AI gegenereerde code biedt:

  • Jaarlijkse penetratietesten: Externe experts voeren audits uit op kwetsbaarheden

  • Dynamic Application Security Testing (DAST): Scannen van kwetsbaarheden tijdens runtime

  • Prompt injection testen: AI-specifieke beveiligingstests voor schadelijke inputs

  • Regressietestpakketten: Valideren van AI-outputs, frameworkdetectie en de nauwkeurigheid van beleidsgeneratie

  • Monitoring: Bijhouden van hallucinatiepercentages, nauwkeurigheid van reacties en systeemprestaties

Deze praktijken zijn gedocumenteerd in ons AI System Technical Overview en sluiten aan bij ons traject naar ISO 27001-certificering (zie Waarom we nog niet ISO 27001 gecertificeerd zijn).

AI-geassisteerd, niet AI-gegenereerd

We gebruiken wel degelijk AI bij de ontwikkeling, maar als hulpmiddel en niet als vervanging voor technische discipline:

  • Code-assistentie: AI helpt bij het schrijven van boilerplate-code, stelt refactorings voor en genereert testcases

  • Menselijke verificatie: Elke AI-suggestie wordt beoordeeld, getest en gevalideerd door engineers

  • Gestructureerde prompts: We gebruiken AI binnen gecontroleerde workflows, niet via vrije "vibe"-prompts

Het verschil: AI versnelt de ontwikkeling, maar de mens handhaaft de architectuur, beveiliging en kwaliteitsnormen.

AI-geassisteerde engineering combineert snelheid met discipline. Vibe coding offert discipline op voor snelheid.

Waarom dit belangrijk is voor compliance-software

ISMS Copilot verwerkt gevoelige gegevens voor ISO 27001, SOC 2, GDPR en andere kaders met hoge inzet. Gebruikers vertrouwen ons met:

  • Systeemeigen beleid en beveiligingsdocumentatie

  • Risicobeoordelingen en auditbewijsmateriaal

  • Klant-specifieke compliance-gegevens in Workspaces

Het snelle iteratiemodel van vibe coding botst met de stabiliteit, controleerbaarheid en beveiliging die compliance-professionals vereisen. Onze engineering-aanpak garandeert:

  • Voorspelbare releases: Gefaseerde uitrol met geteste wijzigingen

  • Audit trails: Code onder versiebeheer, gedocumenteerde implementaties, traceerbare wijzigingen

  • Beveiligingsgaranties: MFA, row-level security, end-to-end encryptie, geen training op gebruikersgegevens

  • Betrouwbaarheid: Uitgebreide testen voorkomen regressies die audit-klare outputs zouden kunnen corrumperen

Gerelateerde bronnen

Was dit nuttig?