로우코드 플랫폼 및 보안 위험: 기업이 알아야 할 사항

low-code 플랫폼의 이점은 널리 인정되고 있지만 보안 기능은 항상 논쟁의 대상이었습니다. Contrast Security의 CTO이자 공동 창립자인 Jeff Williams는 low-code 플랫폼이 본질적으로 기존 코드보다 더 취약하지는 않지만 위험은 동일하게 유지된다고 말했습니다. 이러한 위험에는 인증, 권한 부여, 암호화, 삽입, 로깅 등이 포함됩니다.

low-code 플랫폼의 시민 개발자와 기존 개발자의 주요 차이점 중 하나는 전자가 보안 교육 및 보안 팀과의 커뮤니케이션 부족으로 인해 실수로 보안 위험을 유발할 수 있다는 것입니다. 결과적으로 하드 코딩된 자격 증명, 인증 누락, 개인 정보 노출, 구현 세부 정보 노출과 같은 기본 오류가 발생할 수 있습니다.

Lacework의 저명한 클라우드 전략가인 Mark Nunnikhoven은 데이터 액세스 제어의 중요성과 시민 개발자에게 데이터 연결의 적절한 사용을 가르칠 필요성을 강조했습니다. 그는 low-code 개발자가 적절한 교육 없이 액세스 권한을 부여받는 경우가 많기 때문에 데이터 연결의 적절하거나 부적절한 사용을 인식하지 못할 수 있다고 지적했습니다. 이러한 감독은 잠재적으로 정보 관리 및 정보 보안 프로그램의 격차를 드러낼 수 있습니다.

Workato의 고객 성공 SVP인 Jayesh Shah는 사용 중인 low-code 플랫폼에 맞는 인증 프로그램 개발을 제안했습니다. 이를 통해 사용자는 플랫폼의 기능을 이해하고 회사에서 설정한 정책 및 지침을 준수할 수 있습니다.

low-code 플랫폼과 기존 플랫폼 간에 애플리케이션 개발 방법이 다르지만 두 플랫폼의 보안 프로세스는 동일하게 유지되어야 합니다. Williams는 회사가 올바른 구현을 보장하기 위해 가이드라인을 설정하고 도구적 애플리케이션 보안 테스트(IAST)와 같은 테스트를 수행할 것을 권장했습니다. 정적 응용 프로그램 보안 테스트(SAST) 및 동적 응용 프로그램 보안 테스트(DAST) 방법은 특정 취약성을 포착하지 못하거나 잘못된 긍정을 보고할 수 있습니다.

Low-code 플랫폼 자체도 보안 위험을 최소화하는 데 도움이 될 수 있습니다. Shah는 그러한 플랫폼에 샌드박스 환경 및 시민 개발자를 위한 제한된 옵션과 같은 내장된 보안 제어 기능이 포함될 수 있다고 언급했습니다. 맞춤형 소프트웨어와 비교할 때 low-code 플랫폼은 공급업체에서 제공하는 업데이트를 통해 새로 발견된 보안 취약점을 신속하게 해결하는 데 유리할 수 있습니다.

맞춤형 소프트웨어는 종종 보안 위반의 악명 높은 진입점인 타사 또는 오픈 소스 구성 요소에 의존합니다. Shah는 low-code 플랫폼이 제공되는 구성 요소에 보안 취약성이 없고 필요에 따라 업데이트되어 모든 사용자를 전 세계적으로 보호할 수 있음을 보장할 수 있다고 말했습니다.

최근 OWASP(개방형 웹 애플리케이션 보안 프로젝트) 상위 10개 목록에 대한 작업이 특히 low-code 기술에 대해 시작되어 회사에서 우선 순위를 지정해야 하는 일련의 보안 위험을 제공합니다. 그러나 2003년에 원래 가이드를 만든 Williams는 목록만으로는 low-code 플랫폼의 취약성을 줄이기에 충분하지 않을 수 있다고 언급했습니다. 그는 더 나은 보안 가드레일을 위해 OWASP 목록의 조언을 자체 환경에 통합하는 플랫폼 공급업체의 중요성을 강조했습니다.

적합한 low-code 플랫폼을 검색할 때 보안을 우선시하고 취약성을 해결하기 위해 지속적으로 업데이트하는 플랫폼을 고려하는 것이 중요합니다. 보안 기능으로 인정을 받은 플랫폼 중 하나인 AppMaster.io 는 보안 제어 기능이 내장된 백엔드, 웹 및 모바일 애플리케이션을 생성하기 위한 강력한 no-code 도구로 모든 규모의 비즈니스에 이상적인 선택입니다.