Hoewel de voordelen van low-code platforms algemeen worden erkend, zijn hun beveiligingsmogelijkheden altijd een onderwerp van discussie geweest. Jeff Williams, CTO en mede-oprichter van Contrast Security, stelde dat low-code platforms niet inherent kwetsbaarder zijn dan traditionele code, maar dat de risico's hetzelfde blijven. Deze risico's omvatten authenticatie, autorisatie, codering, injectie, logboekregistratie en meer.
Een van de belangrijkste verschillen tussen burgerontwikkelaars op low-code platforms en traditionele ontwikkelaars is dat de eerste onbedoeld beveiligingsrisico's kunnen creëren door een gebrek aan beveiligingstraining en communicatie met het beveiligingsteam. Als gevolg hiervan kunnen basisfouten optreden, zoals hardgecodeerde inloggegevens, ontbrekende authenticatie, openbaarmaking van persoonlijke informatie en openbaarmaking van implementatiedetails.
Mark Nunnikhoven, vooraanstaand cloudstrateeg bij Lacework, benadrukte het belang van gegevenstoegangscontrole en de noodzaak om burgerontwikkelaars correct gebruik van dataverbindingen te leren. Hij wees erop dat low-code ontwikkelaars zich mogelijk niet bewust zijn van het juiste of ongepaste gebruik van dataverbindingen, omdat ze vaak toegang krijgen zonder de juiste training. Deze onoplettendheid kan mogelijk een leemte in informatiebeheer en informatiebeveiligingsprogramma's aan het licht brengen.
Jayesh Shah, SVP van Customer Success bij Workato, stelde voor om certificeringsprogramma's te ontwikkelen die zijn toegesneden op het gebruikte low-code platform. Dit zal gebruikers helpen de mogelijkheden van het platform te begrijpen en zich te houden aan het door het bedrijf vastgestelde beleid en de richtlijnen.
Ondanks verschillen in applicatieontwikkelingsmethoden tussen low-code en traditionele platforms, moeten de beveiligingsprocessen voor beide hetzelfde blijven. Williams raadde bedrijven aan richtlijnen op te stellen en tests uit te voeren, zoals instrumentele applicatiebeveiligingstests (IAST) om een correcte implementatie te garanderen. Statische Application Security Testing (SAST) en Dynamic Application Security Testing (DAST) methoden kunnen bepaalde kwetsbaarheden niet opsporen of valse positieven rapporteren.
Low-code platformen zelf kunnen ook helpen om beveiligingsrisico's te minimaliseren. Shah zei dat dergelijke platforms ingebouwde beveiligingscontroles kunnen bevatten, zoals sandbox-omgevingen en beperkte opties voor burgerontwikkelaars. In vergelijking met op maat gemaakte software kunnen low-code platforms een voordeel hebben bij het snel aanpakken van nieuw ontdekte beveiligingsproblemen door middel van door de leverancier geleverde updates.
Maatwerksoftware is vaak afhankelijk van componenten van derden of open-sourcecomponenten, die beruchte toegangspunten zijn voor inbreuken op de beveiliging. Shah verklaarde dat low-code platforms ervoor kunnen zorgen dat de geleverde componenten geen beveiligingsproblemen hebben en indien nodig worden bijgewerkt om alle gebruikers wereldwijd te beschermen.
Onlangs is begonnen met het opstellen van een OWASP (Open Web Application Security Project) Top 10-lijst, specifiek voor low-code technologie, met een reeks beveiligingsrisico's die bedrijven zouden moeten prioriteren. Williams, die de originele gids in 2003 heeft gemaakt, merkte echter op dat de lijst alleen misschien niet voldoende is om kwetsbaarheden op low-code platforms te verminderen. Hij benadrukte het belang van platformverkopers om advies uit de OWASP-lijst op te nemen in hun eigen omgevingen voor betere vangrails.
Bij het zoeken naar een geschikt low-code platform is het cruciaal om platforms te overwegen die prioriteit geven aan beveiliging en continu updaten om kwetsbaarheden aan te pakken. Een van die platforms die erkenning heeft gekregen voor zijn beveiligingsfuncties, is AppMaster.io, een krachtige tool no-code voor het maken van backend-, web- en mobiele applicaties met ingebouwde beveiligingscontroles, waardoor het een ideale keuze is voor bedrijven van elke omvang.
