Chociaż zalety platform low-code są powszechnie uznawane, ich możliwości w zakresie bezpieczeństwa zawsze były przedmiotem debaty. Jeff Williams, CTO i współzałożyciel Contrast Security, stwierdził, że platformy low-code nie są z natury bardziej podatne na ataki niż tradycyjny kod, ale ryzyko pozostaje takie samo. Zagrożenia te obejmują uwierzytelnianie, autoryzację, szyfrowanie, wstrzykiwanie, rejestrowanie i inne.
Jedną z głównych różnic między programistami obywatelskimi na platformach low-code a programistami tradycyjnymi jest to, że ci pierwsi mogą nieumyślnie stwarzać zagrożenia bezpieczeństwa z powodu braku szkolenia w zakresie bezpieczeństwa i komunikacji z zespołem ds. bezpieczeństwa. W rezultacie mogą wystąpić podstawowe błędy, takie jak zakodowane na stałe poświadczenia, brak uwierzytelnienia, ujawnienie danych osobowych i ujawnienie szczegółów implementacji.
Mark Nunnikhoven, wybitny strateg chmurowy w Lacework, podkreślił znaczenie kontroli dostępu do danych i potrzebę nauczenia deweloperów obywatelskich właściwego korzystania z połączeń danych. Zwrócił uwagę, że programiści low-code mogą nie być świadomi właściwego lub niewłaściwego korzystania z połączeń danych, ponieważ często dostęp do nich uzyskuje się bez odpowiedniego przeszkolenia. To przeoczenie może potencjalnie ujawnić lukę w zarządzaniu informacjami i programach bezpieczeństwa informacji.
Jayesh Shah, starszy wiceprezes ds. sukcesu klienta w Workato, zasugerował opracowanie programów certyfikacji dostosowanych do używanej platformy low-code. Pomoże to użytkownikom zrozumieć możliwości platformy i przestrzegać zasad i wytycznych ustalonych przez firmę.
Pomimo różnic w metodach tworzenia aplikacji między platformami low-code i tradycyjnymi, procesy bezpieczeństwa dla obu platform powinny pozostać takie same. Williams zalecił, aby firmy ustaliły wytyczne i przeprowadziły testy, takie jak instrumentalne testy bezpieczeństwa aplikacji (IAST), aby zapewnić prawidłowe wdrożenie. Metody statycznego testowania bezpieczeństwa aplikacji (SAST) i dynamicznego testowania bezpieczeństwa aplikacji (DAST) mogą nie wykrywać pewnych luk w zabezpieczeniach lub zgłaszać fałszywe alarmy.
Same platformy Low-code mogą również pomóc zminimalizować zagrożenia bezpieczeństwa. Shah wspomniał, że takie platformy mogą zawierać wbudowane mechanizmy kontroli bezpieczeństwa, takie jak środowiska piaskownicy i ograniczone opcje dla deweloperów obywatelskich. W porównaniu z oprogramowaniem niestandardowym platformy low-code mogą mieć przewagę w szybkim usuwaniu nowo odkrytych luk w zabezpieczeniach za pomocą aktualizacji dostarczanych przez dostawców.
Niestandardowe oprogramowanie często opiera się na komponentach stron trzecich lub komponentach typu open source, które są notorycznie punktami wejścia dla naruszeń bezpieczeństwa. Shah stwierdził, że platformy low-code mogą zapewnić, że dostarczone komponenty nie mają luk w zabezpieczeniach i są aktualizowane w razie potrzeby, aby chronić wszystkich użytkowników na całym świecie.
Niedawno rozpoczęto prace nad listą OWASP (Open Web Application Security Project) Top 10, specjalnie dla technologii low-code, zawierającą zestaw zagrożeń dla bezpieczeństwa, którym firmy powinny nadać priorytet. Jednak Williams, który stworzył oryginalny przewodnik w 2003 roku, zauważył, że sama lista może nie wystarczyć do zmniejszenia luk w zabezpieczeniach platform o low-code. Podkreślił, jak ważne jest, aby dostawcy platform włączali porady z listy OWASP do swoich własnych środowisk w celu uzyskania lepszych barier bezpieczeństwa.
Poszukując odpowiedniej platformy low-code, należy wziąć pod uwagę platformy, dla których priorytetem są zabezpieczenia i ciągłe aktualizacje w celu usunięcia luk w zabezpieczeniach. Jedną z takich platform, która zyskała uznanie dzięki swoim funkcjom bezpieczeństwa, jest AppMaster.io, potężne narzędzie no-code do tworzenia aplikacji backendowych, internetowych i mobilnych z wbudowanymi kontrolami bezpieczeństwa, co czyni go idealnym wyborem dla firm każdej wielkości.
