Passer au contenu principal
Pour des instructions détaillées sur la sécurisation de vos applications créées avec Lovable, consultez notre guide complet pour préparer votre application à la publication et éviter les problèmes courants.

Clés API

Lovable génère du code frontend, ce qui signifie qu’il s’exécute dans le navigateur. Par conséquent, aucune donnée sensible, quelle qu’elle soit, ne doit jamais être stockée dans le code. À la place, Lovable met à disposition une fonctionnalité de stockage sécurisé des secrets.

Détection automatique des clés API

Pour te connecter à des services tiers, des clés API ou des jetons sont souvent nécessaires. Chaque fois que tu colles une clé API dans le chat, Lovable la détecte automatiquement et t’avertit de ne pas insérer en dur des identifiants sensibles directement dans ton code frontend. Au lieu de coller des clés API, décris ce que tu essaies de faire et Lovable te guidera vers une implémentation sécurisée. Détection de clé API en action Par exemple, au lieu de : “Ajoute cette clé API pour appeler le service X : x_test_abc123…” Essaie plutôt : “Je veux intégrer l’API du service X pour générer des réponses textuelles” Lovable te montrera alors comment :
  1. Stocker ta clé API de manière sécurisée dans le stockage Secrets.
  2. Créer une Fonction Edge pour effectuer l’appel d’API côté serveur.
  3. Appeler cette Fonction Edge depuis ton code frontend.
Cette approche permet de garder tes identifiants sensibles en sécurité et respecte les bonnes pratiques de sécurité pour les applications web.

RLS (sécurité au niveau des rôles)

Les politiques RLS déterminent qui peut accéder à quelles données dans votre base de données. Nous vous recommandons de les examiner attentivement avant de publier votre projet, puis de continuer à les revoir et à les mettre à jour au fur et à mesure du développement de votre projet.

Analyse de sécurité

Avant de publier, Lovable affiche des avertissements de sécurité issus de son scanner de sécurité avancé alimenté par l’IA, et vous demandera de confirmer que vous souhaitez publier en cas de problèmes sérieux. Nous vous recommandons fortement de résoudre tous les problèmes sérieux avant de publier vos projets afin de garder les données de votre application en sécurité. Veillez à revoir l’analyse de sécurité et à effectuer un nouveau contrôle à chaque fois que vous modifiez significativement votre application. Revue de sécurité avant publication
L’absence d’avertissements ou d’erreurs de la part du scanner de sécurité ne garantit pas qu’il n’existe aucun problème de sécurité dans votre application. Nous vous recommandons d’effectuer un examen approfondi de la sécurité de votre application à l’aide des outils disponibles avant de publier, ou de faire appel à un consultant professionnel en sécurité pour réaliser un audit de l’application si votre app gère des données privées sensibles, fournit des fonctions critiques et si une éventuelle fuite de données peut entraîner de graves conséquences pour des personnes.
Lovable inclut une analyse de sécurité complète, alimentée par l’IA, pour vous aider à identifier les vulnérabilités potentielles dans votre code avant de publier.

Vue de sécurité

La vue de sécurité affiche les résultats issus de plusieurs sources : l’assistant de sécurité de la base de données, une analyse approfondie par l’IA de votre schéma de base de données et de vos politiques RLS (Row Level Security), ainsi qu’un audit de sécurité de votre code alimenté par l’IA. Cette approche complète permet de couvrir un éventail plus large de problèmes de sécurité potentiels. Les résultats sont classés par niveau de gravité :
  • Error : problèmes de sécurité critiques qui doivent être traités immédiatement. Ceux-ci incluent l’option « Try to Fix », même si les corrections proposées ne résolvent pas nécessairement tous les cas.
  • Warning : problèmes de sécurité importants qui doivent être examinés et probablement corrigés.
  • Info : recommandations générales de sécurité et bonnes pratiques à prendre en considération.
Le bouton « Security Review » déclenche une analyse par IA plus approfondie qui inclut l’ensemble de votre base de code, allant au-delà du simple schéma de base de données et des politiques RLS pour examiner le code de votre application à la recherche de vulnérabilités de sécurité supplémentaires. Détection de clé API en action

Analyse de sécurité à la demande

Vous pouvez demander une analyse de sécurité à tout moment en demandant à Lovable de « vérifier la sécurité de mon app » ou en formulant une demande similaire. Lovable va :
  1. Analyser l’intégralité de votre code pour détecter des vulnérabilités de sécurité.
  2. Vérifier les problèmes courants comme la prévention XSS, l’assainissement des entrées et les failles d’authentification.
  3. Examiner vos règles RLS et la sécurité de votre base de données.
  4. Fournir un rapport détaillé avec des recommandations précises.
Comment trouver l'analyse de sécurité Analyse de sécurité en action
À retenir : même en l’absence d’alertes de l’outil d’analyse, il est toujours recommandé de demander régulièrement une analyse de sécurité à la demande pour les applications en production.

Types de problèmes détectés et leur résolution

La plupart des problèmes peuvent être corrigés automatiquement en cliquant sur le bouton « Try to Fix », mais certains nécessitent une intervention manuelle.

Protection contre les mots de passe compromis désactivée

Lorsque vous utilisez Lovable Cloud, activez l’option « Password HIBP Check » dans Cloud -> Users -> Auth Settings -> Email. Si vous utilisez une base de données Supabase, suivez les instructions : https://supabase.com/docs/guides/auth/password-security#password-strength-and-leaked-password-protection