プラットフォーム

バックエンド: 本格的なAIソフトウェアデリバリーのためのSupabase基盤

認証、本物のPostgresデータベース、ファイルストレージ、行レベルセキュリティが、あなたが後から接続しなければならない別プロジェクトとしてではなく、アプリと共に届きます。

Ciaoのバックエンドは、Supabaseを利用しています: 認証、Postgresデータベース、ファイルストレージ、行レベルセキュリティ、APIが、アプリケーションとともに生成されます。スプレッドシートを裏側に持つアプリビルダーとは異なり、Ciaoはすべてのプロジェクトに本物のリレーショナルデータベースを提供し、アクセスルールはデータベース自体で強制されます — エンジニアが検査しクエリできる標準的なインフラであり、コードの残りとともにあなたが所有します。

適した用途マルチユーザーの社内ツール本物のデータを持つ顧客ポータル強制された権限が必要なチーム

公開日 2026-07-03 · 最終更新 2026-07-03

本物のアプリには本物のデータ層が必要だ

すべての本格的なアプリケーションは、ユーザーインターフェースをまとったデータベースです。データ層はまた、アプリビルダーが通常手を抜く場所でもあります: ストレージとしてのスプレッドシート、後付けのサインイン、希望としての権限。それはデモでは機能します — そして2つ目のチーム、本物の顧客、あるいは監査人が現れます。

Ciaoはすべてのアプリケーションに、Supabase利用のバックエンドを提供します: 認証、Postgresデータベース、ファイルストレージ、行レベルセキュリティ、APIが、アプリケーションとともに生成され、それとともに進化します。それはエンジニアが意図的に選ぶであろうインフラであり、セットアップなしで届きます。そしてアプリケーションと共に届くため、データモデルとインターフェースが乖離することは決してありません — 一方が他方を説明します。

バックエンドがどう組み上がるか

バックエンドはアプリケーションとともに生成され、同じループを通じて成長します。

  1. 1. 平易な言葉でデータを説明する

    「顧客はサブスクリプションを持つ。請求書は顧客に属する」は、適切な型と関係を持つPostgresのリレーショナルスキーマになります。

  2. 2. 認証が組み込まれる

    サインイン、セッション、ユーザー管理は最初から存在します。認証は、すべてのアクセスルールが基盤とするものだからです。

  3. 3. 行レベルセキュリティが誰が何を見られるかを強制する

    アクセスルールはデータベース自体に存在します: バグがアプリケーションコードに紛れ込んでも、ユーザーのクエリはポリシーが許すデータにしか触れられません。

  4. 4. ストレージがファイルを扱う

    アップロード、文書、画像には、同じアクセスルールが適用された居場所ができます — 誰かが後でロックダウンするつもりだった公開バケットではありません。

  5. 5. APIがデータを公開する

    生成されたエンドポイントにより、あなたのアプリケーション — そして連携先 — が、制御された一貫した方法でデータを扱えます。

  6. 6. スキーマはガバナンスのもとで進化する

    変更はブランチ上のマイグレーションとして届き、レビューとQAゲートを経るため、データ層は製品と戦うのではなく共に成長します。

なぜ重要なのか

行レベルセキュリティは、立ち止まる価値のある詳細です。アプリケーションレベルの権限チェックは開いた状態で失敗します: 1つの見落とされた条件でデータが漏洩します。行レベルセキュリティは閉じた状態で失敗します — データベースは、ポリシーが許可しないものを拒否します。CiaoのSecurity層はその境界をライブアプリケーションに対して検証するため、「権限は機能している」は想定ではなくテストされます。

そしてそれはSupabaseとPostgres — 標準的で広く使われているインフラ — であるため、データ層には何も独自のものがありません。エンジニアは直接クエリでき、アプリケーションをエクスポートすれば、スキーマとデータモデルも一緒に来ます。100%の所有権にはバックエンドも含まれます。

バックエンドはまた、AI支援開発が最も規律を必要とする場所でもあります。データは機能より長生きするからです。画面は再構築され、スキーマは積み重なります。統治されたマイグレーション — レビューされ、テストされ、記録された — を通じてデータ層を生成することは、500回の変更後のデータベースが、ログインページ付きの考古学的遺跡ではなく、誰かが読めるスキーマであり続けることを意味します。

誰が使うのか

本物のデータ層は、各役割が頼れるものを変えます。

  • 非エンジニア — それが何であるかを知る必要なく、正しいデータ層 — 本物のスキーマ、強制された権限 — を手に入れます。
  • エンジニア — 標準的なPostgresを検査しクエリできます。エクスポート時に驚かせる独自ストレージエンジンはありません。
  • 代理店 — すべてのクライアントビルドが、その週のプロジェクトが即興で作ったものではなく、同じ信頼できる基盤の上に立ちます。
  • 規制対象のチーム — 強制されたアクセスルール、検証された境界、監査証跡 — コンプライアンスが実際に尋ねるデータ層のストーリーです。

セキュリティとガバナンスに関する注記

  • ✓ 行レベルセキュリティは、UIだけでなくデータベースでアクセスを強制します。
  • ✓ Ciao Securityのアクセス制御検証が、それらのルールをライブアプリに対して検証します。
  • ✓ スキーマ変更は、ブランチ、レビュー、QAゲートを通じてマイグレーションとして出荷されます。
  • ✓ ロールベースのアクセス制御が、誰がデータ層を変更できるかを統制します。
  • ✓ ファイルストレージは、それが属するデータと同じアクセスルールを継承します。
  • ✓ 顧客のコードはモデルの学習に使用されず、推論はデータ保持ゼロのモデル契約のもとで実行されます。
  • ✓ スキーマは標準的なPostgresであり、いつでもアプリケーションとともにエクスポート可能です。

すべてのCiaoバックエンドに含まれるもの

この表のすべては、すべてのプロジェクトに出荷されます — アップグレードではありません。

機能得られるもの
認証最初からアプリに組み込まれたサインイン、セッション、ユーザー管理
Postgresデータベース平易な言葉の説明から生成される本物のリレーショナルスキーマ
ファイルストレージ同じアクセスルールが適用されたアップロードと文書
行レベルセキュリティデータベース自体によって強制され、ライブアプリに対して検証されるアクセス
APIあなたのアプリケーションと連携先のための生成されたエンドポイント

よくある質問

バックエンドはCiaoにロックされていますか?

いいえ。Supabase利用の標準的なPostgresで、アプリケーションをエクスポートすればスキーマとデータモデルも含まれます。あなたとあなたのデータの間に独自ストレージエンジンはありません。

行レベルセキュリティとは実際には何ですか?

データベースに存在し、行ごとに各ユーザーが読み書きできる内容を決定するポリシーです。アプリケーションコードにバグがあっても、データベースはポリシーが許可しないクエリを拒否します — 権限は開いた状態ではなく閉じた状態で失敗します。

エンジニアはデータベースを直接操作できますか?

はい — 標準的なPostgresなので、すでに使っているツールで検査しクエリできます。それでもスキーマ変更は統治されたマイグレーションを通じて流れるため、直接アクセスが記録されない変更になることはありません。

既存のデータをCiaoアプリに持ち込めますか?

はい — 持っているものの形を説明すれば、スキーマはそれを受け入れるように構築され、インポートはビルドの一部として扱われます。より大規模または機密性の高い移行については、まずチームと相談してください。

バックエンドはセキュリティテストとどう連携しますか?

アクセス制御の検証が、ライブアプリケーションに対してテナントを越えた読み書きの試みを実行します — 行レベルセキュリティのポリシーはレビューされるだけでなく検証されます。結果は公開可否のダッシュボードに反映されます。

関連ページ

かつては待つしかなかったソフトウェアを構築しましょう。

バックエンドブロック: Supabase認証、Postgres、API | Ciao