Embora as vantagens das plataformas low-code sejam amplamente reconhecidas, seus recursos de segurança sempre foram um tópico de debate. Jeff Williams, CTO e cofundador da Contrast Security, afirmou que as plataformas low-code não são inerentemente mais vulneráveis do que o código tradicional, mas os riscos permanecem os mesmos. Esses riscos incluem autenticação, autorização, criptografia, injeção, log e muito mais.
Uma das principais diferenças entre os desenvolvedores cidadãos em plataformas low-code e os desenvolvedores tradicionais é que os primeiros podem criar riscos de segurança inadvertidamente devido à falta de treinamento de segurança e comunicação com a equipe de segurança. Erros básicos, como credenciais codificadas, falta de autenticação, divulgação de informações pessoais e exposição de detalhes de implementação podem surgir como resultado.
Mark Nunnikhoven, distinto estrategista de nuvem da Lacework, destacou a importância do controle de acesso a dados e a necessidade de ensinar aos desenvolvedores cidadãos o uso apropriado de conexões de dados. Ele apontou que os desenvolvedores low-code podem não estar cientes do uso apropriado ou inapropriado de conexões de dados, pois geralmente recebem acesso sem treinamento adequado. Essa supervisão poderia potencialmente expor uma lacuna nos programas de gerenciamento e segurança da informação.
Jayesh Shah, vice-presidente sênior de sucesso do cliente na Workato, sugeriu o desenvolvimento de programas de certificação personalizados para a plataforma low-code que está sendo usada. Isso ajudará os usuários a entender os recursos da plataforma e aderir às políticas e diretrizes definidas pela empresa.
Apesar das diferenças nos métodos de desenvolvimento de aplicativos entre plataformas low-code e tradicionais, os processos de segurança para ambas devem permanecer os mesmos. Williams recomendou que as empresas estabeleçam diretrizes e realizem testes como o teste instrumental de segurança de aplicativos (IAST) para garantir a implementação adequada. Os métodos de teste de segurança de aplicativo estático (SAST) e teste de segurança de aplicativo dinâmico (DAST) podem falhar ao detectar certas vulnerabilidades ou relatar falsos positivos.
As próprias plataformas Low-code também podem ajudar a minimizar os riscos de segurança. Shah mencionou que essas plataformas podem incluir controles de segurança integrados, como ambientes de sandbox e opções restritas para desenvolvedores cidadãos. Em comparação com o software personalizado, as plataformas low-code podem ter a vantagem de abordar rapidamente as vulnerabilidades de segurança recém-descobertas por meio de atualizações fornecidas pelo fornecedor.
O software personalizado geralmente depende de componentes de terceiros ou de código aberto, que são pontos de entrada notórios para violações de segurança. Shah afirmou que as plataformas low-code podem garantir que os componentes fornecidos não tenham vulnerabilidades de segurança e sejam atualizados conforme necessário para proteger todos os usuários globalmente.
Recentemente, o trabalho começou em uma lista dos 10 principais OWASP (Open Web Application Security Project) especificamente para tecnologia low-code, fornecendo um conjunto de riscos de segurança que as empresas devem priorizar. No entanto, Williams, que criou o guia original em 2003, observou que a lista por si só pode não ser suficiente para reduzir vulnerabilidades em plataformas low-code. Ele enfatizou a importância de os fornecedores de plataforma incorporarem conselhos da lista OWASP em seus próprios ambientes para obter melhores proteções de segurança.
Ao procurar uma plataforma low-code adequada, é crucial considerar plataformas que priorizem a segurança e atualizem continuamente para solucionar vulnerabilidades. Uma dessas plataformas que ganhou reconhecimento por seus recursos de segurança é AppMaster.io, uma poderosa ferramenta no-code para criar aplicativos de back-end, web e móveis com controles de segurança integrados, tornando-o uma escolha ideal para empresas de todos os tamanhos.
