Während die Vorteile von low-code -Plattformen weithin anerkannt sind, waren ihre Sicherheitsfunktionen schon immer ein Diskussionsthema. Jeff Williams, CTO und Mitbegründer von Contrast Security, erklärte, dass low-code Plattformen nicht von Natur aus anfälliger seien als herkömmlicher Code, aber die Risiken blieben dieselben. Zu diesen Risiken gehören Authentifizierung, Autorisierung, Verschlüsselung, Injektion, Protokollierung und mehr.
Einer der Hauptunterschiede zwischen Bürgerentwicklern auf low-code Plattformen und traditionellen Entwicklern besteht darin, dass Erstere aufgrund mangelnder Sicherheitsschulung und mangelnder Kommunikation mit dem Sicherheitsteam unbeabsichtigt Sicherheitsrisiken schaffen können. Dies kann zu grundlegenden Fehlern wie fest codierten Anmeldeinformationen, fehlender Authentifizierung, Offenlegung persönlicher Informationen und Offenlegung von Implementierungsdetails führen.
Mark Nunnikhoven, angesehener Cloud-Stratege bei Lacework, betonte die Bedeutung der Datenzugriffskontrolle und die Notwendigkeit, Bürgerentwicklern den angemessenen Umgang mit Datenverbindungen beizubringen. Er wies darauf hin, dass low-code Entwickler sich der angemessenen oder unangemessenen Verwendung von Datenverbindungen möglicherweise nicht bewusst sind, da ihnen der Zugriff oft ohne angemessene Schulung gewährt wird. Diese Aufsicht könnte möglicherweise eine Lücke in Informationsmanagement- und Informationssicherheitsprogrammen aufdecken.
Jayesh Shah, SVP of Customer Success bei Workato, schlug vor, Zertifizierungsprogramme zu entwickeln, die auf die verwendete low-code Plattform zugeschnitten sind. Dies wird den Benutzern helfen, die Fähigkeiten der Plattform zu verstehen und die vom Unternehmen festgelegten Richtlinien und Richtlinien einzuhalten.
Trotz der Unterschiede in den Methoden der Anwendungsentwicklung zwischen low-code und traditionellen Plattformen sollten die Sicherheitsprozesse für beide gleich bleiben. Williams empfahl den Unternehmen, Richtlinien festzulegen und Tests wie Instrumental Application Security Testing (IAST) durchzuführen, um eine ordnungsgemäße Implementierung sicherzustellen. Statische Anwendungssicherheitstests (SAST) und dynamische Anwendungssicherheitstests (DAST) können bestimmte Schwachstellen nicht erkennen oder falsch positive Ergebnisse melden.
Low-code Plattformen selbst können auch dazu beitragen, Sicherheitsrisiken zu minimieren. Shah erwähnte, dass solche Plattformen integrierte Sicherheitskontrollen wie Sandbox-Umgebungen und eingeschränkte Optionen für Bürgerentwickler enthalten können. Im Vergleich zu kundenspezifischer Software haben low-code -Plattformen möglicherweise den Vorteil, dass sie neu entdeckte Sicherheitslücken durch vom Anbieter bereitgestellte Updates schnell beheben.
Kundenspezifische Software stützt sich oft auf Komponenten von Drittanbietern oder Open-Source-Komponenten, die berüchtigte Einstiegspunkte für Sicherheitsverletzungen sind. Shah erklärte, dass low-code Plattformen sicherstellen können, dass die bereitgestellten Komponenten keine Sicherheitslücken aufweisen und bei Bedarf aktualisiert werden, um alle Benutzer weltweit zu schützen.
Vor kurzem wurde mit der Arbeit an einer OWASP-Top-10-Liste (Open Web Application Security Project) speziell für low-code Technologie begonnen, die eine Reihe von Sicherheitsrisiken enthält, die Unternehmen priorisieren sollten. Williams, der den ursprünglichen Leitfaden im Jahr 2003 erstellte, stellte jedoch fest, dass die Liste allein möglicherweise nicht ausreicht, um Schwachstellen auf low-code Plattformen zu reduzieren. Er betonte, wie wichtig es ist, dass Plattformanbieter Ratschläge aus der OWASP-Liste in ihre eigenen Umgebungen integrieren, um bessere Sicherheitsvorkehrungen zu treffen.
Bei der Suche nach einer geeigneten low-code Plattform ist es wichtig, Plattformen in Betracht zu ziehen, die Sicherheit priorisieren und kontinuierlich aktualisieren, um Schwachstellen zu beheben. Eine solche Plattform, die für ihre Sicherheitsfunktionen Anerkennung gefunden hat, ist AppMaster.io, ein leistungsstarkes no-code -Tool zum Erstellen von Backend-, Web- und mobilen Anwendungen mit integrierten Sicherheitskontrollen, was es zur idealen Wahl für Unternehmen jeder Größe macht.
