Negli ultimi anni, le tecnologie low-code e no-code sono diventate sempre più popolari, supportate dalla previsione di Gartner secondo cui il 65% dello sviluppo di applicazioni entro il 2024 sarà alimentato da questi strumenti rivoluzionari. Forniscono una serie semplificata di elementi costitutivi, facilitando la creazione di soluzioni IT personalizzate per vari settori. Tuttavia, come con qualsiasi nuova tecnologia, ci sono rischi potenziali e gli utenti possono comprensibilmente avere preoccupazioni sulla sicurezza della piattaforma low-code e no-code.
Comprensione dei diversi tipi di piattaforme
Prima di valutare i rischi per la sicurezza, è essenziale identificare la funzionalità desiderata di una piattaforma low-code o no-code. In genere, queste piattaforme offrono una gamma di componenti, come caselle di testo, selettori di data/ora e input numerici, che possono essere organizzati per creare una soluzione su misura. I dati inseriti tramite questi componenti rimangono sulla piattaforma, rendendo l'analisi della sicurezza più semplice. In molti modi, questi componenti sono simili a quelli che si trovano nelle piattaforme SaaS convenzionali.
Le piattaforme con questi componenti contenuti possono essere classificate come "contenute". Il vero elemento di differenziazione per questa nuova generazione di strumenti è il cloud, che ha reso le API (application programming interface) sempre più comuni. Poiché queste piattaforme facilitano l'estrazione, la trasformazione e l'integrazione dei dati tra vari sistemi, porta lo sviluppo low-code e no-code a nuovi livelli.
Immagina uno scenario in cui il tuo team interagisce con un potenziale cliente a un evento. Dopo aver ottenuto alcune informazioni dal potenziale cliente e averle inserite nell'app low-code o no-code, l'app crea un'opportunità Salesforce nel tuo flusso di lavoro di vendita, assegna un account manager e aggiorna il tuo strumento di email marketing. L'intero processo può essere completato in breve tempo utilizzando questi strumenti di sviluppo, consentendo flussi di lavoro senza soluzione di continuità a vantaggio della tua azienda.
Tuttavia, le piattaforme connesse comunicano direttamente con altri servizi per l'input, l'output o entrambi i dati, evidenziando i potenziali rischi associati ai sistemi connessi.
Rischi Connessi
Le piattaforme connesse low-code e no-code comportano una perdita di visibilità nell'archiviazione e nell'elaborazione dei dati. Quando utilizzi una piattaforma connessa per raccogliere dati da un servizio come Marketo e inviarli a un altro servizio esterno, i rischi coinvolti possono essere difficili da accertare. A complicare ulteriormente le cose, le connessioni a servizi di terze parti vengono spesso stabilite con le credenziali di un individuo, piuttosto che con un account di servizio dedicato. Di conseguenza, l'accesso ai dati potrebbe essere registrato sotto la persona che ha impostato la connessione, invece che l'utente effettivo.
Questa mancanza di granularità pone notevoli problemi di sicurezza perché i team perdono informazioni su chi sta accedendo ai dati. Inoltre, la sicurezza ha lottato a lungo per mantenere la visibilità nell'ambiente IT di un'azienda. La rapida adozione di piattaforme low-code e no-code può esacerbare queste lacune di visibilità a meno che il settore non maturi per soddisfare i requisiti aziendali.
Adattamento alla sicurezza low-code e No-Code
Nonostante i problemi di sicurezza, le piattaforme low-code e no-code offrono un significativo vantaggio aziendale e consentono ai team di risolvere i problemi in modo più efficiente. Per adottare queste soluzioni in modo sicuro, gli utenti dovrebbero iniziare con una valutazione del rischio per determinare se la piattaforma è "connessa". Se connesso, verificare le credenziali utilizzate per collegare i servizi di terze parti e utilizzare gli account di servizio quando possibile.
Successivamente, esamina le funzionalità di registrazione della piattaforma e assicurati che siano abilitate sia per la piattaforma che per le sue connessioni. Mantenere la visibilità su queste attività è fondamentale per affrontare tempestivamente qualsiasi violazione dei dati o problemi di esposizione.
Una volta affrontate le nozioni di base, gli utenti possono concentrarsi su problemi di sicurezza più avanzati. Ad esempio, organizzazioni come OWASP hanno già iniziato a esplorare le dieci principali minacce specifiche per lo sviluppo low-code e no-code. Questa ricerca può aiutare a guidare gli sforzi degli utenti e le migliori pratiche di sicurezza per il futuro.
La previsione di Gartner non suggerisce che i metodi di sviluppo tradizionali saranno obsoleti. Invece, le piattaforme low-code e no-code eliminano le barriere e consentono a una gamma più ampia di utenti di risolvere le proprie sfide. Tra queste, AppMaster è emersa come una notevole piattaforma no-code, fornendo potenti strumenti per lo sviluppo di back-end, web e applicazioni mobili. Se affrontate con saggezza, le piattaforme low-code e no-code offrono l'opportunità di introdurre concetti di sicurezza moderni a una nuova generazione di utenti, promuovendo soluzioni resilienti e sicure fin dall'inizio.
