Eighty
← Blog

Claude Code als security-scanner: zo laat je je SaaS-code controleren na OpenAI Daybreak

12 mei 2026/3 min lezen/Door de Eighty redactie
Claude CodeMVPprompts

OpenAI Daybreak en wat jij er vanavond mee kunt

Wat is er gebeurd?

OpenAI lanceerde gisteren Daybreak, een AI-initiatief dat automatisch kwetsbaarheden in code opspoort en patcht voordat aanvallers ze vinden. Het draait op hun Codex Security AI-agent en is duidelijk gericht op grote organisaties en security-teams.

Maar het idee erachter is direct relevant voor jou als SaaS-maker: AI kan je code lezen als een security-auditor. Jij hoeft geen pen tester te zijn om te weten of je authenticatie-logica een gat heeft.

Wat betekent dit voor jouw project?

Als je een SaaS bouwt met Claude Code, heb je waarschijnlijk code die gebruikers laat inloggen, betalen of data opslaan. Dat zijn precies de plekken waar beginners-fouten zitten die later duur uitpakken. Denk aan API-keys in je frontend, ontbrekende input-validatie of verkeerd opgezette Supabase Row Level Security.

Je hoeft niet te wachten op Daybreak. Claude Code kan nu al hetzelfde voor je doen, op je eigen code, gratis.

Hoe pak je het aan met Claude Code?

Stap 1: Open Claude Code in je project

Start Claude Code in de root van je project. Zorg dat je de relevante bestanden open hebt staan, of geef Claude Code toegang tot je volledige repo via de terminal.

cd ~/mijn-saas-project
claude

Stap 2: Vraag om een gerichte security-review

Geef Claude Code een specifieke, afgebakende opdracht. Breed vragen werkt minder goed dan gericht vragen per onderdeel.

Begin met authenticatie en API-routes:

Doe een security-review van alle bestanden in /app/api en /lib/auth. Zoek specifiek naar: (1) hardcoded secrets of API-keys, (2) ontbrekende input-validatie op form-velden, (3) endpoints die geen authenticatie-check doen, (4) plaatsen waar gebruikersinput direct in een database-query terechtkomt zonder sanitization. Geef per bevinding een concreet codevoorbeeld van het probleem EN de fix.

Stap 3: Laat de Supabase RLS-policies checken

Als je Supabase gebruikt, is Row Level Security de meest kritieke plek. Veel makers zetten RLS uit tijdens development en vergeten het later aan te zetten.

Analyseer mijn Supabase-schema en migraties in /supabase/migrations. Controleer voor elke tabel: (1) is RLS ingeschakeld, (2) zijn er policies voor SELECT, INSERT, UPDATE en DELETE, (3) kunnen users elkaars data lezen of aanpassen op basis van de huidige policies? Geef een overzicht per tabel met status: veilig / risico / onbekend.

Stap 4: Laat een fix schrijven voor de belangrijkste bevinding

Na de review kies je de meest urgente bevinding en vraag je Claude Code direct de fix te schrijven en toe te passen:

De grootste kwetsbaarheid die je vond is [X]. Schrijf de correcte fix, leg uit waarom dit de juiste oplossing is, en pas het aan in het bestand. Maak geen andere wijzigingen.

// Voorbeeld van een veelvoorkomend probleem: onbeveiligde API-route
// Voor:
export async function GET(request: Request) {
  const data = await supabase.from('orders').select('*');
  return Response.json(data);
}

// Na (met auth-check):
export async function GET(request: Request) {
  const { data: { user } } = await supabase.auth.getUser();
  if (!user) {
    return new Response('Unauthorized', { status: 401 });
  }
  const data = await supabase
    .from('orders')
    .select('*')
    .eq('user_id', user.id);
  return Response.json(data);
}

Stap 5: Voeg een security-checklist toe aan je CLAUDE.md

Zorg dat toekomstige Claude Code-sessies automatisch rekening houden met security door het op te nemen in je projectgeheugen:

Voeg aan mijn CLAUDE.md een sectie toe met de naam "Security-regels" met daarin: (1) elke API-route vereist een auth-check, (2) nooit API-keys in frontend-code, (3) altijd input valideren met Zod voor database-operaties, (4) Supabase RLS is verplicht voor alle tabellen met gebruikersdata.

Wat te checken na afloop

  • Heeft Claude Code minstens 3 concrete bevindingen gegeven? Zo niet, dan zijn je bestanden mogelijk niet goed ingeladen. Probeer dan een specifiek bestand te noemen in je prompt.
  • Staat er nu een "Security-regels" sectie in je CLAUDE.md? Open het bestand en controleer.
  • Zijn de gevonden kwetsbaarheden daadwerkelijk gefixt? Vraag Claude Code: "Wat is er nu anders in het bestand vergeleken met voor de review?" om te bevestigen dat de wijzigingen kloppen.
  • Bonus: push naar een testomgeving en kijk of je app nog werkt na de fixes. Security-patches breken soms bestaande functionaliteit als je ze niet goed test.
Wil je dit zelf leren?

Bij Eighty leer ik je Claude Code in het Nederlands gebruiken, van installatie tot een werkend SaaS-product. Wekelijks een nieuwe module, persoonlijke begeleiding.

Bekijk de prijzenMeer over de cursus