Alors que les avantages des plates-formes low-code sont largement reconnus, leurs capacités de sécurité ont toujours fait l'objet de débats. Jeff Williams, CTO et co-fondateur de Contrast Security, a déclaré que les plates-formes low-code ne sont pas intrinsèquement plus vulnérables que le code traditionnel, mais que les risques restent les mêmes. Ces risques incluent l'authentification, l'autorisation, le chiffrement, l'injection, la journalisation, etc.
L'une des principales différences entre les développeurs citoyens sur des plates-formes low-code et les développeurs traditionnels est que les premiers peuvent créer par inadvertance des risques de sécurité en raison d'un manque de formation à la sécurité et de communication avec l'équipe de sécurité. Des erreurs de base telles que des informations d'identification codées en dur, une authentification manquante, la divulgation d'informations personnelles et l'exposition de détails de mise en œuvre peuvent en résulter.
Mark Nunnikhoven, éminent stratège cloud chez Lacework, a souligné l'importance du contrôle d'accès aux données et la nécessité d'enseigner aux développeurs citoyens l'utilisation appropriée des connexions de données. Il a souligné que les développeurs low-code pourraient ne pas être conscients de l'utilisation appropriée ou inappropriée des connexions de données, car ils reçoivent souvent un accès sans formation appropriée. Cette surveillance pourrait potentiellement révéler une lacune dans les programmes de gestion et de sécurité de l'information.
Jayesh Shah, SVP Customer Success chez Workato, a suggéré de développer des programmes de certification adaptés à la plate-forme low-code utilisée. Cela aidera les utilisateurs à comprendre les capacités de la plate-forme et à adhérer aux politiques et directives définies par l'entreprise.
Malgré les différences dans les méthodes de développement d'applications entre les plates-formes low-code et traditionnelles, les processus de sécurité pour les deux doivent rester les mêmes. Williams a recommandé aux entreprises d'établir des directives et d'effectuer des tests tels que des tests de sécurité des applications instrumentales (IAST) pour garantir une mise en œuvre correcte. Les méthodes de test de sécurité des applications statiques (SAST) et de test de sécurité des applications dynamiques (DAST) peuvent ne pas détecter certaines vulnérabilités ou signaler des faux positifs.
Les plates-formes Low-code elles-mêmes peuvent également aider à minimiser les risques de sécurité. Shah a mentionné que ces plates-formes peuvent inclure des contrôles de sécurité intégrés tels que des environnements de bac à sable et des options restreintes pour les développeurs citoyens. Par rapport aux logiciels personnalisés, les plates-formes low-code peuvent avoir un avantage pour résoudre rapidement les vulnérabilités de sécurité nouvellement découvertes grâce aux mises à jour fournies par le fournisseur.
Les logiciels personnalisés reposent souvent sur des composants tiers ou open source, qui sont des points d'entrée notoires pour les failles de sécurité. Shah a déclaré que les plates-formes low-code peuvent garantir que les composants fournis ne présentent pas de failles de sécurité et sont mis à jour au besoin pour protéger tous les utilisateurs dans le monde.
Récemment, les travaux ont commencé sur une liste des 10 meilleurs OWASP (Open Web Application Security Project) spécifiquement pour la technologie low-code, fournissant un ensemble de risques de sécurité que les entreprises devraient prioriser. Cependant, Williams, qui a créé le guide original en 2003, a noté que la liste à elle seule pourrait ne pas suffire à réduire les vulnérabilités sur les plates-formes low-code. Il a souligné l'importance pour les fournisseurs de plates-formes d'intégrer les conseils de la liste OWASP dans leurs propres environnements pour de meilleures barrières de sécurité.
Lors de la recherche d'une plate-forme low-code appropriée, il est crucial de considérer les plates-formes qui donnent la priorité à la sécurité et qui se mettent à jour en permanence pour résoudre les vulnérabilités. L'une de ces plates-formes qui a été reconnue pour ses fonctionnalités de sécurité est AppMaster.io, un puissant outil no-code pour créer des applications backend, Web et mobiles avec des contrôles de sécurité intégrés, ce qui en fait un choix idéal pour les entreprises de toutes tailles.
