In de afgelopen jaren zijn low-code en no-code technologieën steeds populairder geworden, ondersteund door de voorspelling van Gartner dat 65% van de applicatie-ontwikkeling tegen 2024 zal worden aangedreven door deze revolutionaire tools. Ze bieden een vereenvoudigde set bouwstenen, waardoor het creëren van op maat gemaakte IT-oplossingen voor verschillende industrieën wordt vergemakkelijkt. Zoals bij elke nieuwe technologie zijn er echter potentiële risico's en kunnen gebruikers zich begrijpelijkerwijs zorgen maken over low-code en no-code platformbeveiliging.
Verschillende soorten platforms begrijpen
Voordat de beveiligingsrisico's worden beoordeeld, is het essentieel om de gewenste functionaliteit van een low-code of no-code platform te identificeren. Doorgaans bieden deze platforms een reeks componenten, zoals tekstvakken, datum-/tijdkiezers en nummerinvoer, die kunnen worden gerangschikt om een oplossing op maat te maken. De gegevens die via deze componenten worden ingevoerd, blijven op het platform staan, waardoor beveiligingsanalyse eenvoudiger wordt. In veel opzichten zijn deze componenten vergelijkbaar met die van conventionele SaaS-platforms.
Platforms met deze ingesloten componenten kunnen worden geclassificeerd als 'ingesloten'. De echte onderscheidende factor voor deze nieuwe generatie tools is de cloud, waardoor API's (Application Programming Interfaces) steeds gebruikelijker worden. Omdat deze platforms data-extractie, -transformatie en -integratie tussen verschillende systemen mogelijk maken, tilt het low-code en no-code ontwikkeling naar nieuwe hoogten.
Stel je een scenario voor waarin je team interactie heeft met een potentiële klant tijdens een evenement. Na wat informatie van de prospect te hebben verkregen en deze in de low-code of no-code app te hebben ingevoerd, creëert de app een Salesforce-kans in uw verkoopworkflow, wijst een accountmanager toe en werkt uw e-mailmarketingtool bij. Dit hele proces kan in korte tijd worden voltooid met behulp van deze ontwikkelingstools, waardoor naadloze workflows mogelijk worden die uw bedrijf ten goede komen.
Verbonden platforms communiceren echter rechtstreeks met andere services voor gegevensinvoer, -uitvoer of beide, wat de potentiële risico's van verbonden systemen benadrukt.
Verbonden risico's
Verbonden low-code en no-code platformen brengen verlies van inzicht in dataopslag en -verwerking met zich mee. Wanneer u een verbonden platform gebruikt om gegevens te verzamelen van een dienst als Marketo en deze naar een andere externe dienst te sturen, kan het moeilijk zijn om de risico's vast te stellen. Om de zaken nog ingewikkelder te maken, worden verbindingen met services van derden vaak tot stand gebracht met de inloggegevens van een persoon in plaats van met een speciaal serviceaccount. Hierdoor kon datatoegang worden gelogd onder de persoon die de verbinding tot stand bracht, in plaats van de daadwerkelijke gebruiker.
Dit gebrek aan granulariteit zorgt voor aanzienlijke beveiligingsuitdagingen omdat teams het inzicht verliezen in wie toegang heeft tot gegevens. Bovendien heeft beveiliging lange tijd moeite gehad om inzicht te krijgen in de IT-omgeving van een bedrijf. Snelle acceptatie van low-code en no-code platforms kan deze hiaten in zichtbaarheid verergeren, tenzij de industrie volwassen wordt om aan de bedrijfsvereisten te voldoen.
Aanpassing aan low-code en No-Code beveiliging
Ondanks beveiligingsproblemen bieden low-code en no-code platforms een aanzienlijk zakelijk voordeel en stellen ze teams in staat om problemen efficiënter op te lossen. Om deze oplossingen veilig te gebruiken, moeten gebruikers beginnen met een risicobeoordeling om te bepalen of het platform 'verbonden' is. Indien verbonden, verifieert u de inloggegevens die worden gebruikt om services van derden te koppelen en gebruikt u waar mogelijk serviceaccounts.
Onderzoek vervolgens de logboekmogelijkheden van het platform en zorg ervoor dat ze zijn ingeschakeld voor zowel het platform als de verbindingen. Het behouden van inzicht in deze activiteiten is van cruciaal belang om eventuele problemen met datalekken of blootstellingen snel aan te pakken.
Zodra de basis is aangepakt, kunnen gebruikers zich richten op meer geavanceerde beveiligingsproblemen. Organisaties als OWASP zijn bijvoorbeeld al begonnen met het verkennen van de tien belangrijkste bedreigingen die specifiek zijn voor low-code en no-code ontwikkeling. Dit onderzoek kan helpen bij de inspanningen van gebruikers en best practices op het gebied van beveiliging.
De voorspelling van Gartner suggereert niet dat traditionele ontwikkelmethoden achterhaald zullen zijn. In plaats daarvan nemen low-code en no-code platforms barrières weg en stellen ze een breder scala aan gebruikers in staat hun uitdagingen op te lossen. Onder deze is AppMaster naar voren gekomen als een opmerkelijk platform no-code, dat krachtige tools biedt voor de ontwikkeling van backend, web en mobiele applicaties. Als ze verstandig worden benaderd, bieden low-code en no-code platforms de mogelijkheid om moderne beveiligingsconcepten te introduceren bij een nieuwe generatie gebruikers, waarbij vanaf het begin veerkrachtige en veilige oplossingen worden bevorderd.
