Sebbene i vantaggi delle piattaforme low-code siano ampiamente riconosciuti, le loro capacità di sicurezza sono sempre state oggetto di dibattito. Jeff Williams, CTO e co-fondatore di Contrast Security, ha affermato che le piattaforme low-code non sono intrinsecamente più vulnerabili del codice tradizionale, ma i rischi rimangono gli stessi. Questi rischi includono autenticazione, autorizzazione, crittografia, iniezione, registrazione e altro.
Una delle principali differenze tra gli sviluppatori cittadini su piattaforme low-code e gli sviluppatori tradizionali è che i primi possono inavvertitamente creare rischi per la sicurezza a causa della mancanza di formazione sulla sicurezza e di comunicazione con il team di sicurezza. Di conseguenza, possono verificarsi errori di base come credenziali hardcoded, autenticazione mancante, divulgazione di informazioni personali ed esposizione dei dettagli di implementazione.
Mark Nunnikhoven, illustre stratega del cloud presso Lacework, ha sottolineato l'importanza del controllo dell'accesso ai dati e la necessità di insegnare ai cittadini sviluppatori un uso appropriato delle connessioni dati. Ha sottolineato che gli sviluppatori low-code potrebbero non essere consapevoli dell'uso appropriato o inappropriato delle connessioni dati poiché spesso viene loro fornito l'accesso senza una formazione adeguata. Questa svista potrebbe potenzialmente esporre una lacuna nella gestione delle informazioni e nei programmi di sicurezza delle informazioni.
Jayesh Shah, SVP di Customer Success presso Workato, ha suggerito di sviluppare programmi di certificazione su misura per la piattaforma low-code utilizzata. Ciò aiuterà gli utenti a comprendere le capacità della piattaforma e ad aderire alle politiche e alle linee guida stabilite dall'azienda.
Nonostante le differenze nei metodi di sviluppo delle applicazioni tra piattaforme low-code e tradizionali, i processi di sicurezza per entrambe dovrebbero rimanere gli stessi. Williams ha raccomandato alle aziende di stabilire linee guida e condurre test come i test di sicurezza delle applicazioni strumentali (IAST) per garantire una corretta implementazione. I metodi statici di test di sicurezza delle applicazioni (SAST) e dinamici di test di sicurezza delle applicazioni (DAST) potrebbero non riuscire a rilevare determinate vulnerabilità o segnalare falsi positivi.
Le stesse piattaforme Low-code possono anche aiutare a ridurre al minimo i rischi per la sicurezza. Shah ha affermato che tali piattaforme possono includere controlli di sicurezza integrati come ambienti sandbox e opzioni limitate per gli sviluppatori cittadini. Rispetto al software personalizzato, le piattaforme low-code possono avere un vantaggio nell'affrontare rapidamente le vulnerabilità di sicurezza scoperte di recente attraverso gli aggiornamenti forniti dal fornitore.
Il software personalizzato si basa spesso su componenti di terze parti o open source, che sono noti punti di ingresso per violazioni della sicurezza. Shah ha affermato che le piattaforme low-code possono garantire che i componenti forniti non presentino vulnerabilità di sicurezza e vengano aggiornati secondo necessità per proteggere tutti gli utenti a livello globale.
Di recente, è iniziato il lavoro su un elenco dei primi 10 OWASP (Open Web Application Security Project) specifico per la tecnologia low-code, che fornisce una serie di rischi per la sicurezza a cui le aziende dovrebbero dare la priorità. Tuttavia, Williams, che ha creato la guida originale nel 2003, ha notato che l'elenco da solo potrebbe non essere sufficiente per ridurre le vulnerabilità sulle piattaforme low-code. Ha sottolineato l'importanza che i fornitori di piattaforme incorporino i consigli dell'elenco OWASP nei propri ambienti per migliori barriere di sicurezza.
Durante la ricerca di una piattaforma low-code adatta, è fondamentale considerare le piattaforme che danno priorità alla sicurezza e si aggiornano continuamente per affrontare le vulnerabilità. Una di queste piattaforme che ha ottenuto il riconoscimento per le sue funzionalità di sicurezza è AppMaster.io, un potente strumento no-code per la creazione di applicazioni back-end, web e mobili con controlli di sicurezza integrati, che lo rende una scelta ideale per aziende di tutte le dimensioni.
