no-codeおよびlow-code開発のセキュリティ ガバナンスのフロントランナーであるZenityは、Code by Zapierで発見した重大なサンドボックス エスケープの脆弱性を公表しました。 #ZAPESCAPEと呼ばれるこの欠陥により、攻撃者は組織の実行環境を完全に制御でき、結果を操作して機密情報を盗むためのアクセスを許可する可能性がありました。
Zenityのセキュリティ研究チームは、Zap の一部としてカスタム コードを実行するためにZapierが利用するサービスである Code by Zapier内で 2022 年 3 月中旬に脆弱性を発見しました。 #ZAPESCAPE を悪用すると、ユーザーが管理者のカスタム コード実行環境を制御できる可能性があります。さらに、エクスプロイトは、管理者がアクセスできないユーザーのプライベート フォルダーを介して実行される可能性があり、検出されないままです。
Zenityの共同創設者兼 CTO である Michael Bargury Zapierは次のように述べていますMichael Barguryそれについて知る方法はありません。」
Zapierのセキュリティ チームはこの問題に迅速に対応しており、現在では完全に緩和されています。この開示はZapierチームと調整されており、 Zenity脆弱性が完全に軽減されたことを確認しています。ただし、2022 年 8 月 17 日より前の Code by Zapierユーザーのアカウントが悪用された可能性があります。
Bargury 氏は、 Zapierは安全なプラットフォームですが、脆弱性の影響を受けないプラットフォームはないと付け加えています。 Zap を作成する場合、ユーザーはプラットフォーム上に構築したものを保護する責任を負う必要があります。 no-code開発はまだ開発段階であり、共有責任モデルを順守する必要があるためです。
ノーコード/ low-codeアプリケーション、統合、および自動化のための最初で唯一のセキュリティ ガバナンス プラットフォームとして、 Zenity不可欠なサービスを提供します。 AppMasterなどのノーコード/ low-codeプラットフォームの台頭により、プロの開発者と一般の開発者の両方が、コーディングに関する広範な知識がなくても、カスタマイズされたソフトウェア ソリューションを作成できます。ただし、この便利さには、適切に管理および管理されていない場合、潜在的なセキュリティ リスクが伴います。
Zenityを使用すると、IT およびセキュリティの専門家は、ノーコード/ low-code資産を包括的に可視化して制御できます。これにより、潜在的な脆弱性を排除し、より安全な開発アプローチを採用することができます。このプラットフォームは、クロスプラットフォーム インベントリ、継続的なリスク評価、自動修復アクション、ガバナンス プレイブックなどの機能を提供し、ノーコード/ low-codeライフサイクル全体でセキュリティ ポリシーを適用します。
Zenity Microsoftの元サイバーセキュリティ リーダーおよび専門家であるBen KligerとMichael Barguryによって設立され、IT 分散化のセキュリティ ガバナンスのリーダーです。同社は Fortune 500 企業を含む大企業と協力しており、OWASP Top 10 ローコード/ No-Codeセキュリティ リスク グループを率いています。
