Meskipun keunggulan platform low-code diakui secara luas, kemampuan keamanannya selalu menjadi topik perdebatan. Jeff Williams, CTO dan salah satu pendiri Contrast Security, menyatakan bahwa platform low-code tidak secara inheren lebih rentan daripada kode tradisional, tetapi risikonya tetap sama. Risiko ini termasuk autentikasi, otorisasi, enkripsi, injeksi, logging, dan lainnya.
Salah satu perbedaan utama antara pengembang warga pada platform low-code dan pengembang tradisional adalah bahwa pengembang tradisional dapat secara tidak sengaja menciptakan risiko keamanan karena kurangnya pelatihan keamanan dan komunikasi dengan tim keamanan. Kesalahan dasar seperti kredensial hard-coded, autentikasi yang hilang, pengungkapan informasi pribadi, dan pemaparan detail implementasi dapat muncul sebagai akibatnya.
Mark Nunnikhoven, ahli strategi cloud terkemuka di Lacework, menyoroti pentingnya kontrol akses data dan kebutuhan untuk mengajari pengembang warga penggunaan koneksi data yang tepat. Dia menunjukkan bahwa pengembang low-code mungkin tidak mengetahui penggunaan koneksi data yang tepat atau tidak tepat karena mereka sering diberikan akses tanpa pelatihan yang tepat. Pengawasan ini berpotensi membuka celah dalam manajemen informasi dan program keamanan informasi.
Jayesh Shah, SVP of Customer Success di Workato, menyarankan untuk mengembangkan program sertifikasi yang disesuaikan dengan platform low-code yang digunakan. Ini akan membantu pengguna memahami kemampuan platform dan mematuhi kebijakan dan pedoman yang ditetapkan perusahaan.
Terlepas dari perbedaan dalam metode pengembangan aplikasi antara platform low-code dan tradisional, proses keamanan untuk keduanya harus tetap sama. Williams merekomendasikan agar perusahaan menetapkan pedoman dan melakukan pengujian seperti pengujian keamanan aplikasi instrumental (IAST) untuk memastikan implementasi yang tepat. Metode pengujian keamanan aplikasi statis (SAST) dan pengujian keamanan aplikasi dinamis (DAST) mungkin gagal menangkap kerentanan tertentu atau melaporkan positif palsu.
Platform Low-code itu sendiri juga dapat membantu meminimalkan risiko keamanan. Shah menyebutkan bahwa platform semacam itu dapat menyertakan kontrol keamanan bawaan seperti lingkungan kotak pasir dan opsi terbatas untuk pengembang warga. Dibandingkan dengan perangkat lunak khusus, platform low-code mungkin memiliki keunggulan dalam mengatasi dengan cepat kerentanan keamanan yang baru ditemukan melalui pembaruan yang disediakan vendor.
Perangkat lunak khusus sering kali bergantung pada komponen pihak ketiga atau sumber terbuka, yang merupakan titik masuk terkenal untuk pelanggaran keamanan. Shah menyatakan bahwa platform low-code dapat memastikan bahwa komponen yang disediakan tidak memiliki kerentanan keamanan dan diperbarui seperlunya untuk melindungi semua pengguna secara global.
Baru-baru ini, pekerjaan dimulai pada daftar 10 Teratas OWASP (Proyek Keamanan Aplikasi Web Terbuka) khusus untuk teknologi low-code, memberikan serangkaian risiko keamanan yang harus diprioritaskan perusahaan. Namun, Williams, yang membuat panduan aslinya pada tahun 2003, mencatat bahwa daftar itu saja mungkin tidak cukup untuk mengurangi kerentanan pada platform low-code. Dia menekankan pentingnya vendor platform memasukkan saran dari daftar OWASP ke dalam lingkungan mereka sendiri untuk pagar keamanan yang lebih baik.
Saat mencari platform low-code yang sesuai, penting untuk mempertimbangkan platform yang memprioritaskan keamanan dan terus memperbarui untuk mengatasi kerentanan. Salah satu platform yang telah mendapatkan pengakuan atas fitur keamanannya adalah AppMaster.io, alat no-code yang andal untuk membuat aplikasi backend, web, dan seluler dengan kontrol keamanan bawaan, menjadikannya pilihan ideal untuk bisnis dari semua ukuran.
