
Das Wichtigste auf einen Blick: Der Vercel-Vorfall vom April 2026 ist ein guter Anlass, vier strukturelle Eigenschaften deiner Plattform noch einmal zu überprüfen: wo sich der Audit-Trail für die Infrastruktur befindet, ob Preview-Umgebungen die Datenschicht einschließen, wie sich der Compliance-Umfang über die gesamte Anwendung zusammensetzt und wie portabel die Bereitstellung zwischen verschiedenen Clouds ist. Das sind die Fragen, die es zu klären gilt, egal ob du bei Vercel bleibst oder wechselst.
TL;DRWas ist passiert: Eine mit dem Google Workspace eines Mitarbeiters verbundene Drittanbieter-Integration wurde kompromittiert, und der Zugriff eskalierte in interne Vercel-Systeme. Laut dem veröffentlichten Bulletin von Vercel waren die Auswirkungen auf Kunden begrenzt, und Vercel hat Experten für die Reaktion auf Vorfälle hinzugezogen und die Strafverfolgungsbehörden benachrichtigt. Die Reaktion von Vercel war direkt und professionell, und jede Plattform kann mit einem Vorfall dieser Art konfrontiert werden. Was der Vorfall aufzeigt: Jede gemeinsam genutzte Multi-Tenant-SaaS-Plattform, einschließlich Upsun, verfügt irgendwo in ihrer Architektur über eine Lieferkette. Die Frage, die man sich nach einem Vorfall stellen sollte, ist nicht, ob Vercel unsicher ist. Es geht darum, wo jede Plattform ihre Grenzen zieht und wie viel vom Betriebszustand der Anwendung ein Kunde aus seinen eigenen Systemen heraus sehen und prüfen kann. Die vier Fragen, die es bei einer Bewertung zu berücksichtigen gilt:
Upsuns Antworten auf diese vier Fragen beziehen sich auf strukturelle Eigenschaften der Plattform und nicht auf darüber liegende features. Im weiteren Verlauf dieses Artikels werden wir auf jede einzelne eingehen. |
Vercel konfiguriert die Infrastruktur hauptsächlich über das Dashboard: Routen, Umschreibungen, Funktionseinstellungen, Regionsauswahl, Umgebungsvariablen und Marktplatz-Integrationen. Die Aufzeichnung darüber, wer was wann geändert hat, wird in Vercels eigenen Logs gespeichert, auf die über die Admin-Oberfläche von Vercel zugegriffen werden kann.
Bei Upsun wird die Infrastruktur in einer `.upsun/config.yaml`-Datei im eigenen Git-Repository des Kunden definiert. Routen, Service-Definitionen, Worker, Cron-Jobs, Firewall-Regeln, Service-Beziehungen und Ressourcenzuweisungen werden programmiert. Jede Änderung ist ein Commit, der über den Pull-Request-Prozess des Kunden geprüft wird und im Git-Log des Kunden sichtbar ist.
Was sich im Zusammenhang mit einem Vorfall in der Lieferkette ändert: Der Prüfpfad für Infrastrukturänderungen ist aus den eigenen Systemen des Kunden heraus sichtbar, nicht nur aus denen des Anbieters.
Umgebungsvariablen funktionieren auf beiden Plattformen ähnlich: Werte werden über die CLI oder die Konsole gesetzt, mit einem opt-in-sensitive-Flag, das sie vor der UI- und CLI-Ausgabe verbirgt. Der Unterschied liegt eine Ebene höher, in der Infrastruktur, die diese Geheimnisse nutzt, nicht in den Geheimnissen selbst.
Vercels Preview-Deployments geben jedem Branch eine URL und einen Build. Für Änderungen im Frontend reicht das aus, um sicher zu veröffentlichen. Backend-Dienste (Datenbanken, queues, Objektspeicher) stammen in der Regel von Vercel-Marketplace-Partnern wie Neon, Supabase oder Upstash, werden pro Projekt konfiguriert und verweisen über die Branching-Features des Partners auf gemeinsam genutzte Staging-Daten oder branchspezifische Daten.
Das Klonen von Umgebungen bei Upsun stellt auf jedem Git-Zweig eine Byte-für-Byte-Replik der Produktivumgebung bereit: Code, Dienste und Daten. Reviewer sehen sich die Anwendung an, die auf einer vollständigen, isolierten Kopie des tatsächlichen Zustands der Produktivumgebung läuft – meist in etwa einer Minute. In YAML definierte Sanitization-Hooks entfernen personenbezogene Daten beim Klonen, sodass Reviewer mit realistischen Daten arbeiten, ohne sensible Datensätze zu berühren.
Was sich dadurch im Zusammenhang mit der Überprüfung einer Anwendung während oder nach einem Vorfall ändert: Entwickler können den Zustand der Produktionsumgebung in einer isolierten Umgebung untersuchen, Anmeldeinformationen rotieren oder Integrationsänderungen an diesem Zustand vornehmen und das Ergebnis überprüfen, bevor sie die Live-Umgebung berühren.
Vercel ist SOC 2 Typ 2 zertifiziert und bietet HIPAA-Business-Associate-Vereinbarungen für die Pro- und Enterprise-Tarife an. Der Geltungsbereich umfasst den Teil des Stacks, den Vercel betreibt.
Bei Full-Stack-Anwendungen auf Vercel werden zustandsbehaftete Dienste (Datenbanken, queues, Objektspeicher) in der Regel von Marktplatzpartnern bereitgestellt. Diese Partner verfügen über ihre eigenen Zertifizierungen, ihre eigenen Geltungsbereichserklärungen und ihre eigenen BAAs. Die Compliance-Situation eines Kunden für die gesamte Anwendung setzt sich aus dem Geltungsbereich von Vercel und dem jedes Marktplatzpartners zusammen, nahtlos verbunden durch die vom Kunden erstellten Verbindungen.
Upsuns SOC 2 Typ 2, ISO 27001, mit PCI DSS- und HIPAA-Optionen deckt die gesamte Plattform ab: Rechenleistung, Datenbanken, queues, Objektspeicher, Worker, Cron-Jobs und die Pipelines, die diese bereitstellen. Die Erklärung zum Compliance-Umfang und das Diagramm der Anwendungsarchitektur sind ein und dasselbe Dokument.
Für Teams im Gesundheitswesen, im Finanzdienstleistungssektor, in der öffentlichen Verwaltung oder in jedem B2B-Kontext, in dem Compliance Teil der Beschaffungsgespräche ist, ist ein Umfang auf einer einzigen Plattform wesentlich einfacher zu verteidigen als ein zusammengesetzter.
Vercel läuft auf einer von Vercel betriebenen globalen Infrastruktur. Die Auswahl der Region innerhalb dieser Infrastruktur ist pro Funktion und Bereitstellung möglich. Die Auswahl der cloud ist keine Frage, die die Plattform beantwortet.
Die „.upsun/config.yaml“ von Upsun ist dieselbe Datei, egal ob das Projekt auf AWS, Azure, Google Cloud oder OVH in Dutzenden von Regionen läuft. Du wählst den Hyperscaler bei der Projekterstellung aus, und die Konfiguration ändert sich nicht, wenn du den Hyperscaler wechselst. Upsun ist auch auf den Marktplätzen von AWS, Azure, Google und IBM verfügbar, sodass Teams mit Committed-Use-Vereinbarungen für eine dieser clouds diese auf ihre Upsun-Nutzung anwenden können.
Deine Anwendung läuft in von Upsun betriebenen Umgebungen auf dem von dir gewählten Hyperscaler. Die Portabilität liegt in der Konfiguration, nicht darin, wo die Infrastruktur physisch betrieben wird. Was sich dadurch ändert, sind die Kosten für die erneute Entscheidung bezüglich der cloud: Es handelt sich um eine Projekteinstellung statt um ein vierteljähriges Engineering-Projekt.
Nicht unbedingt. Kein einzelner Vorfall entscheidet darüber, ob eine Plattform für eine Anwendung geeignet ist. Es lohnt sich jedoch, die vier oben genannten Fragen zu deiner aktuellen Plattform und jeder Alternative, die du in Betracht ziehst, zu stellen und sicherzustellen, dass die Antworten mit den tatsächlichen Anforderungen deines Unternehmens übereinstimmen.
Für eine Frontend-lastige Anwendung mit einer kleinen Backend-Oberfläche und ohne regulierten Compliance-Umfang ist Vercel gut geeignet, und eine Migration ist wahrscheinlich nicht die richtige Nutzung des Quartals. Für eine Full-Stack-Anwendung mit datenintensiven Vorschauen, Compliance-Reibungsverlusten bei mehreren Anbietern oder Anforderungen an die cloud-Auswahl unterscheiden sich die Antworten auf einer Full-Stack-Plattform wie Upsun strukturell in Punkten, die zum Zeitpunkt der Beschaffung tendenziell eine Rolle spielen.
Bei den meisten Next.js-Anwendungen besteht die Migration in erster Linie darin, eine .upsun/config.yaml zu schreiben, die die Frontend-Laufzeitumgebung, Backend-Dienste, Datenbanken und andere Komponenten beschreibt, sowie Umgebungsvariablen und DNS zu übertragen. Da jeder Git-Zweig auf Upsun eine byteweise identische Vorschauumgebung erhält, können Entwickler die migrierte Anwendung vor der Umstellung mit produktionsreifen Daten testen. Das Anwendungsdienst-Team von Upsun unterstützt Migrationen praxisnah, wenn dies der richtige Weg ist.
Ist Upsun sicherer als Vercel?
Beide Plattformen verfügen über SOC 2 Typ 2-Zertifizierungen und betreiben Produktionsanwendungen für professionelle Teams. Die Unterschiede, die es zu vergleichen lohnt, sind struktureller Natur. Wo sich der Infrastruktur-Audit-Trail befindet: bei Upsun im eigenen Git-Repository des Kunden; bei Vercel in der Admin-Oberfläche und den Logs der Plattform. Wie sich der Compliance-Umfang zusammensetzt: Die Zertifizierungen von Upsun decken die gesamte Plattform ab, einschließlich Datenbanken, queues und Worker, während die von Vercel die von Vercel verwaltete Ebene abdecken, wobei Marktplatzpartner Zertifizierungen für zustandsbehaftete Dienste vorweisen. Welche Optionen verfügbar sind: SOC 2 Typ 2, ISO 27001, mit PCI DSS- und HIPAA-Optionen bei Upsun; SOC 2 Typ 2 mit HIPAA-BAAs bei den Pro- und Enterprise-Tarifen von Vercel.
Unterstützt Upsun Next.js?
Ja. Next.js ist eine erstklassige Laufzeitumgebung auf Upsun. Du definierst die Anwendung und alle zugrunde liegenden Dienste, von denen sie abhängt, in „.upsun/config.yaml“. Die Bereitstellung erfolgt über Git, Umgebungsvariablen werden über die CLI oder die Konsole mit einem opt-in-sensitive-Flag verwaltet (das gleiche Modell, das Vercel anbietet), und jeder Branch erhält eine byteweise Vorschauumgebung.
Wie werden Geheimnisse gehandhabt?
Umgebungsvariablen werden sowohl bei Upsun als auch bei Vercel über die CLI oder die Webkonsole gesetzt und nicht in der Versionskontrolle gespeichert. Die YAML-Konfigurationsdatei von Upsun wird in der Dokumentation ausdrücklich als ungeeignet für geheime Werte bezeichnet, da sie in Git committet wird. Variablen können als „sensitive“ gekennzeichnet werden, wodurch ihre Werte auf beiden Plattformen vor der Benutzeroberfläche und der CLI-Ausgabe verborgen bleiben. Der strukturelle Unterschied zwischen den beiden Plattformen liegt nicht darin, wie Geheimnisse gespeichert werden, sondern in der Infrastruktur, die sie umgibt: Bei Upsun ist diese Infrastruktur in Git deklariert und kann zusammen mit dem Anwendungscode überprüft werden.
Wie lange dauert eine Migration?
Bei den meisten Anwendungen handelt es sich in erster Linie um eine Konfigurationsaufgabe: den bestehenden Stack in „.upsun/config.yaml“ zu beschreiben, Umgebungsvariablen zu verschieben und DNS-Einträge anzupassen. Da die Preview-Umgebungen auf Upsun die Datenschicht enthalten, kann die migrierte Anwendung vor dem Cutover anhand von produktionsreifen Daten validiert werden. Das Anwendungsdienst-Team von Upsun unterstützt Migrationen praxisnah, wenn dies sinnvoll ist.