Все больше приложений разрабатывается на no-code платформах. Это удобнее, быстрее, дает больше гибкости и свободы, при этом не нужно знать языки программирования. Это плюсы как для разработчиков, так и для “бизнес-пользователей”. Но no-code тоже имеет свои недостатки, и один из главных — это безопасность.
Конфиденциальность данных и их зашита в разработке один из важнейших моментов. К сожалению, no-code платформы не всегда справляются с этой задачей и чаще подвержены атакам. С какими именно проблемами безопасности вы можете столкнуться и как их избежать, обсудим в этой статье.
Что не так с no-code?
93% приложений нарушают как минимум несколько требований OWASP MASVS. Проблемы включают:
- недостаточный размер ключа;
- утечку данных;
- отсутствие надлежащих сертификатов безопасности;
- незашифрованную передачу данных по HTTP.
Статистика пугает — почти каждое приложение не имеет надежной системы управления безопасностью.
Инструменты no-code подвергают вас даже большему риску. Когда бизнес-пользователь использует сторонний no-code инструмент, возникает множество возможностей для атак вредоносных программ. Во-первых, отсутствие знаний у пользователя, у которого нет опыта в области разработки ПО, затем — сложность проверки того, как и какими инструментами защищена платформа для создания приложений.
Вопросы безопасности no-code являются самой большой проблемой новой технологии. Есть большая вероятность раскрытия конфиденциальных данных компании при использовании ненадежного программного обеспечения.
Что влияет на уязвимость безопасности no-code платформ?
Хранение созданных приложений и продуктов в облаке
Размещая свои продукты на общедоступных облачных хранилищах, вы подвергаете себя возможным рискам.
Пользователь платформы не имеет контроля над конфиденциальностью таких платформ, а значит не может быть уверен, что его данные будут защищены.
Решение проблемы — это использование верифицированных облачных сервисов, которые имеют международную сертификацию и соответствие ISO.
В целом, любая облачная платформа должна обеспечивать три основных аспекта безопасности клиентских данных: конфиденциальность, целостность и доступность.
Оптимальный выход — размещение приложения на сервисах, полностью контролируемых самим предприятием.
Теневые IT
Так называемые теневые IT, любые цифровые инструменты, которые используются не под контролем IT-отдела или без их согласия, подвергают компании еще большему риску. Именно к таким инструментам часто относятся no-code платформы, которые не имеют надежной системы безопасности.
Поэтому при выборе такого инструмента необходима запрашивать у вендора сертификаты и информацию об используемых методах защиты данных.
Доступ к данным
Данные — главный источник в работе приложения. Поэтому вопрос доступа к ним часто становится основной проблемой. Когда вы работаете с no-code платформами, этот процесс тяжело контролировать. Если вы у вас есть возможность ограничивать доступ к данным для разных типов пользователей, фиксировать входы в систему, ограничивать доступ по времени, а также доступ к определенным видам информации, вы можете легко повысить уровень безопасности ваших продуктов.
К сожалению, не все инструменты предоставляют такой функционал. Поэтому это еще один пункт, который необходимо учитывать, при выборе no-code платформы.
Скрытый код
Технологии хоть и называются no-code, это не значит, что код совсем отсутсвует. Его генерация скрыта от пользователя, который работает с готовыми компонентами платформы. Это тоже одна из серьезных проблем для разработчиков.
В код могут быть внесены изменения извне при кибератаках, о которых разработчик может не узнать.
Для избежания таких рисков используются технологии криптографии с открытым ключом, механизмы цифровой подписи, а также платформы, которые работают в соответствии с ISO 27001. Данный сертификат подтверждает, что система безопасности эффективна.
Помимо этого, есть несколько других проблем, с которыми вы можете столкнуться при разработке приложений на no-code инструментах.
Доступность систем для атаки. С no-code у злоумышленников часто меньше входных барьеров, что облегчает доступ к системам.
Трудно отследить источник нарушения. Может быть невозможно определить, где возникло нарушение, и откуда идет атака. По этой причине трудно устранить саму проблему.
Компоненты с открытым исходным кодом. В проектах, где использованы компоненты с открытым исходным кодом, хакеры могут использовать публичность эксплойтов в своих интересах.
Как бороться с проблемой?
Риски, связанные с безопасностью, можно минимизировать достаточно простыми действиями:
- работа с ПО от надежных и проверенных поставщиков;
- наличие у платформ сертификатов, подтверждающих соответствие международным стандартам по обеспечению безопасности ПО;
- контроль над доступом: кто имеет доступ к платформе и какие действия им разрешено выполнять;
- внедрение дополнительной защиты важных данных;
- размещение самих no-code инструментов, а также готовых приложений на проверенных облачных сервисах (например, надежными считаются AWS, Google, Microsoft Azure).
- минимум конфиденциальных данных в приложениях: по возможности избегайте хранения конфиденциальных данных, таких как номера кредитных карт, пароли и личная информация. Если вам необходимы данные такого типа, обязательно зашифруйте их и сохраните в безопасном месте.
- актуализация ПО и апдейты: убедитесь, что ваши данные защищены, постоянно обновляя ПО.
Безопасность в AppMaster
В AppMaster обеспечение и самой платформы и безопасности ваших приложений — одна из главнейших задач
Как осуществляется защита данных на платформе?
Соответствие OWASP
Open Web Application Security Project (OWASP) предоставляет бесплатные ресурсы по безопасности приложений. AppMaster следует этим рекомендациям, поэтому вы можете быть уверены, что используете безопасный и надежный продукт.
Комплексное ведение логов
Мы используем лучшие решения для ведения и управления логов. Вы можете детально настроить вход в сгенерированные приложения и держать это под постоянным контролем.
Контроль доступа
Доступ ко всем системам основан на ролях. Доступ к данным одного пользователя невозможен без согласия владельца данных.
Отказоустойчивость и резервное копирование
В системе есть автоматическое резервное копирование: если один сервер выйдет из строя, другой немедленно вступит в работу.
Модель общей ответственности
Вы защищаете приложения и интеграции, которые вы разрабатываете, с помощью определенных пользователем правил конфиденциальности.
Amazon Web Services
AppMaster работает на веб-сервисах Amazon, которые соответствуют таким сертификатам, как SOC 2, CSA, ISO 27001.
Восстановление данных
У вас есть возможность доступа к восстановлению данных на определенный момент времени. Если вы развернете функцию, которая повлияет на ваши данные, вы сможете восстановить данные из предыдущего раза.
HTTPS-шифрование
Каждое соединение с AppMaster шифруется сквозным шифрованием через HTTPS с TLS v1.3.
Заключение
Чтобы снизить возможные риски, связанные с использованием no-code платформ и приложений, разработанных на них, важно сразу принять меры для защиты ваших данных. Это может быть шифрование и многофакторная аутентификация, а также тщательный мониторинг доступа к конфиденциальной информации. Советуем регулярно обновлять продукты и выбирать проверенные системы с верификацией.
