Si bien las ventajas de las plataformas low-code son ampliamente reconocidas, sus capacidades de seguridad siempre han sido un tema de debate. Jeff Williams, CTO y cofundador de Contrast Security, afirmó que las plataformas low-code no son inherentemente más vulnerables que el código tradicional, pero los riesgos siguen siendo los mismos. Estos riesgos incluyen autenticación, autorización, cifrado, inyección, registro y más.
Una de las principales diferencias entre los desarrolladores ciudadanos en plataformas low-code y los desarrolladores tradicionales es que los primeros pueden crear riesgos de seguridad sin darse cuenta debido a la falta de capacitación en seguridad y comunicación con el equipo de seguridad. Como resultado, pueden surgir errores básicos como credenciales codificadas, falta de autenticación, divulgación de información personal y exposición de detalles de implementación.
Mark Nunnikhoven, distinguido estratega de la nube en Lacework, destacó la importancia del control de acceso a los datos y la necesidad de enseñar a los desarrolladores ciudadanos el uso adecuado de las conexiones de datos. Señaló que los desarrolladores low-code podrían no ser conscientes del uso apropiado o inapropiado de las conexiones de datos, ya que a menudo se les proporciona acceso sin la capacitación adecuada. Esta supervisión podría potencialmente exponer una brecha en la gestión de la información y los programas de seguridad de la información.
Jayesh Shah, vicepresidente sénior de éxito del cliente en Workato, sugirió desarrollar programas de certificación adaptados a la plataforma low-code que se utiliza. Esto ayudará a los usuarios a comprender las capacidades de la plataforma y cumplir con las políticas y pautas establecidas por la empresa.
A pesar de las diferencias en los métodos de desarrollo de aplicaciones entre las plataformas low-code y las tradicionales, los procesos de seguridad para ambas deben seguir siendo los mismos. Williams recomendó que las empresas establezcan pautas y realicen pruebas, como pruebas de seguridad de aplicaciones instrumentales (IAST), para garantizar una implementación adecuada. Es posible que los métodos de pruebas de seguridad de aplicaciones estáticas (SAST) y pruebas de seguridad de aplicaciones dinámicas (DAST) no detecten ciertas vulnerabilidades o informen falsos positivos.
Las propias plataformas Low-code también pueden ayudar a minimizar los riesgos de seguridad. Shah mencionó que dichas plataformas pueden incluir controles de seguridad incorporados, como entornos de espacio aislado y opciones restringidas para desarrolladores ciudadanos. En comparación con el software personalizado, las plataformas low-code pueden tener la ventaja de abordar rápidamente las vulnerabilidades de seguridad recién descubiertas a través de actualizaciones proporcionadas por el proveedor.
El software personalizado a menudo se basa en componentes de código abierto o de terceros, que son puntos de entrada notorios para las infracciones de seguridad. Shah afirmó que las plataformas low-code pueden garantizar que los componentes provistos no tengan vulnerabilidades de seguridad y se actualicen según sea necesario para proteger a todos los usuarios a nivel mundial.
Recientemente, se comenzó a trabajar en una lista de los 10 principales OWASP (Open Web Application Security Project) específicamente para tecnología low-code, que proporciona un conjunto de riesgos de seguridad que las empresas deben priorizar. Sin embargo, Williams, quien creó la guía original en 2003, señaló que la lista por sí sola puede no ser suficiente para reducir las vulnerabilidades en las plataformas low-code. Hizo hincapié en la importancia de que los proveedores de plataformas incorporen los consejos de la lista OWASP en sus propios entornos para mejorar las medidas de seguridad.
Al buscar una plataforma low-code adecuada, es crucial considerar plataformas que prioricen la seguridad y se actualicen continuamente para abordar las vulnerabilidades. Una de esas plataformas que ha ganado reconocimiento por sus características de seguridad es AppMaster.io, una poderosa herramienta no-code para crear aplicaciones back-end, web y móviles con controles de seguridad integrados, lo que la convierte en una opción ideal para empresas de todos los tamaños.
