लो-कोड प्लेटफॉर्म और सुरक्षा जोखिम: कंपनियों को क्या पता होना चाहिए

जबकि low-code प्लेटफॉर्म के लाभों को व्यापक रूप से स्वीकार किया जाता है, उनकी सुरक्षा क्षमताएं हमेशा बहस का विषय रही हैं। कंट्रास्ट सिक्योरिटी के सीटीओ और सह-संस्थापक जेफ विलियम्स ने कहा कि low-code प्लेटफॉर्म पारंपरिक कोड की तुलना में स्वाभाविक रूप से अधिक कमजोर नहीं हैं, लेकिन जोखिम समान हैं। इन जोखिमों में प्रमाणीकरण, प्राधिकरण, एन्क्रिप्शन, इंजेक्शन, लॉगिंग और बहुत कुछ शामिल हैं।

low-code प्लेटफॉर्म और पारंपरिक डेवलपर्स पर नागरिक डेवलपर्स के बीच मुख्य अंतर यह है कि पूर्व में सुरक्षा प्रशिक्षण और सुरक्षा टीम के साथ संचार की कमी के कारण अनजाने में सुरक्षा जोखिम पैदा हो सकते हैं। परिणामस्वरूप हार्ड-कोडेड क्रेडेंशियल्स, गुम प्रमाणीकरण, व्यक्तिगत जानकारी का प्रकटीकरण, और कार्यान्वयन विवरणों का जोखिम जैसी बुनियादी त्रुटियां उत्पन्न हो सकती हैं।

लेसवर्क में विशिष्ट क्लाउड रणनीतिकार मार्क नुनिखोवेन ने डेटा एक्सेस कंट्रोल के महत्व और नागरिक डेवलपर्स को डेटा कनेक्शन का उचित उपयोग सिखाने की आवश्यकता पर प्रकाश डाला। उन्होंने बताया कि low-code वाले डेवलपर्स को डेटा कनेक्शन के उचित या अनुचित उपयोग के बारे में पता नहीं हो सकता है क्योंकि उन्हें अक्सर उचित प्रशिक्षण के बिना पहुंच प्रदान की जाती है। यह निरीक्षण संभावित रूप से सूचना प्रबंधन और सूचना सुरक्षा कार्यक्रमों में अंतर को उजागर कर सकता है।

वर्कैटो में कस्टमर सक्सेस के एसवीपी जयेश शाह ने उपयोग किए जा रहे low-code प्लेटफॉर्म के अनुरूप प्रमाणन कार्यक्रम विकसित करने का सुझाव दिया। इससे उपयोगकर्ताओं को प्लेटफ़ॉर्म की क्षमताओं को समझने और कंपनी द्वारा निर्धारित नीतियों और दिशानिर्देशों का पालन करने में मदद मिलेगी।

low-code और पारंपरिक प्लेटफॉर्म के बीच एप्लिकेशन डेवलपमेंट के तरीकों में अंतर के बावजूद, दोनों के लिए सुरक्षा प्रक्रियाएं समान रहनी चाहिए। विलियम्स ने सिफारिश की कि कंपनियां उचित कार्यान्वयन सुनिश्चित करने के लिए दिशानिर्देश निर्धारित करती हैं और इंस्ट्रूमेंटल एप्लिकेशन सिक्योरिटी टेस्टिंग (IAST) जैसे परीक्षण करती हैं। स्थैतिक अनुप्रयोग सुरक्षा परीक्षण (SAST) और गतिशील अनुप्रयोग सुरक्षा परीक्षण (DAST) विधियाँ कुछ कमजोरियों को पकड़ने या झूठी सकारात्मक रिपोर्ट करने में विफल हो सकती हैं।

Low-code प्लेटफॉर्म खुद भी सुरक्षा जोखिमों को कम करने में मदद कर सकते हैं। शाह ने उल्लेख किया कि ऐसे प्लेटफार्मों में अंतर्निहित सुरक्षा नियंत्रण जैसे सैंडबॉक्स वातावरण और नागरिक डेवलपर्स के लिए प्रतिबंधित विकल्प शामिल हो सकते हैं। कस्टम सॉफ़्टवेयर की तुलना में, low-code प्लेटफ़ॉर्म को विक्रेता द्वारा प्रदान किए गए अद्यतनों के माध्यम से नई खोजी गई सुरक्षा भेद्यताओं को शीघ्रता से संबोधित करने में लाभ हो सकता है।

कस्टम सॉफ़्टवेयर अक्सर तृतीय-पक्ष या ओपन-सोर्स घटकों पर निर्भर करता है, जो सुरक्षा उल्लंघनों के लिए कुख्यात प्रवेश बिंदु हैं। शाह ने कहा कि low-code प्लेटफॉर्म यह आश्वासन दे सकते हैं कि प्रदान किए गए घटकों में सुरक्षा कमजोरियां नहीं हैं और वैश्विक स्तर पर सभी उपयोगकर्ताओं की सुरक्षा के लिए आवश्यकतानुसार अपडेट किए जाते हैं।

हाल ही में, ओडब्ल्यूएएसपी (ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट) शीर्ष 10 सूची पर विशेष रूप से low-code तकनीक के लिए काम शुरू हुआ, जो सुरक्षा जोखिमों का एक सेट प्रदान करता है जिसे कंपनियों को प्राथमिकता देनी चाहिए। हालांकि, 2003 में मूल गाइड बनाने वाले विलियम्स ने नोट किया कि low-code प्लेटफॉर्म पर कमजोरियों को कम करने के लिए अकेले सूची पर्याप्त नहीं हो सकती है। उन्होंने बेहतर सुरक्षा रेलिंग के लिए अपने स्वयं के वातावरण में OWASP सूची से सलाह शामिल करने वाले प्लेटफ़ॉर्म विक्रेताओं के महत्व पर बल दिया।

उपयुक्त low-code प्लेटफ़ॉर्म की खोज करते समय, उन प्लेटफ़ॉर्म पर विचार करना महत्वपूर्ण है जो सुरक्षा को प्राथमिकता देते हैं और कमजोरियों को दूर करने के लिए लगातार अपडेट होते हैं। ऐसा ही एक प्लेटफॉर्म जिसने अपनी सुरक्षा सुविधाओं के लिए पहचान हासिल की है, वह है AppMaster.io, बैकएंड, वेब और मोबाइल एप्लिकेशन बनाने के लिए एक शक्तिशाली no-code टूल, जिसमें अंतर्निहित सुरक्षा नियंत्रण हैं, जो इसे सभी आकारों के व्यवसायों के लिए एक आदर्श विकल्प बनाता है।