Хотя преимущества платформ low-code широко известны, их возможности безопасности всегда были предметом споров. Джефф Уильямс, технический директор и соучредитель Contrast Security, заявил, что платформы low-code по своей сути не более уязвимы, чем традиционный код, но риски остаются прежними. Эти риски включают аутентификацию, авторизацию, шифрование, внедрение, ведение журнала и многое другое.
Одно из основных различий между гражданскими разработчиками на платформах low-code и традиционными разработчиками заключается в том, что первые могут непреднамеренно создавать риски безопасности из-за отсутствия обучения безопасности и отсутствия связи с командой безопасности. В результате могут возникнуть основные ошибки, такие как жестко закодированные учетные данные, отсутствие аутентификации, раскрытие личной информации и раскрытие деталей реализации.
Марк Нанниховен, выдающийся облачный стратег в Lacework, подчеркнул важность контроля доступа к данным и необходимость обучения гражданских разработчиков правильному использованию подключений к данным. Он указал, что разработчики low-code могут не знать о уместном или неуместном использовании подключений к данным, поскольку им часто предоставляется доступ без надлежащей подготовки. Этот недосмотр потенциально может выявить пробел в программах управления информацией и информационной безопасности.
Джаеш Шах, старший вице-президент по работе с клиентами в Workato, предложил разработать программы сертификации, адаптированные к используемой платформе low-code. Это поможет пользователям понять возможности платформы и придерживаться установленных компанией политик и рекомендаций.
Несмотря на различия в методах разработки приложений между low-code и традиционными платформами, процессы безопасности для обеих должны оставаться одинаковыми. Уильямс рекомендовал компаниям установить руководящие принципы и проводить тесты, такие как инструментальное тестирование безопасности приложений (IAST), чтобы обеспечить надлежащую реализацию. Методы статического тестирования безопасности приложений (SAST) и динамического тестирования безопасности приложений (DAST) могут не обнаруживать определенные уязвимости или сообщать о ложных срабатываниях.
Сами платформы Low-code также могут помочь минимизировать риски безопасности. Шах упомянул, что такие платформы могут включать встроенные элементы управления безопасностью, такие как среды песочницы и ограниченные возможности для гражданских разработчиков. По сравнению с пользовательским программным обеспечением, платформы low-code могут иметь преимущество в быстром устранении недавно обнаруженных уязвимостей безопасности с помощью обновлений, предоставляемых поставщиком.
Специальное программное обеспечение часто использует сторонние компоненты или компоненты с открытым исходным кодом, которые являются печально известными точками входа для нарушений безопасности. Шах заявил, что платформы low-code могут гарантировать, что предоставляемые компоненты не имеют уязвимостей безопасности и обновляются по мере необходимости для защиты всех пользователей во всем мире.
Недавно началась работа над списком OWASP (Открытый проект безопасности веб-приложений) Top 10 специально для технологии low-code, предоставляя набор рисков безопасности, которым компании должны уделять первоочередное внимание. Однако Уильямс, создавший оригинальное руководство в 2003 году, отметил, что одного списка может быть недостаточно для уменьшения уязвимостей на платформах low-code. Он подчеркнул важность того, чтобы поставщики платформ включали рекомендации из списка OWASP в свои собственные среды для повышения уровня безопасности.
При поиске подходящей платформы low-code крайне важно учитывать платформы, которые уделяют первостепенное внимание безопасности и постоянно обновляются для устранения уязвимостей. Одной из таких платформ, которая получила признание благодаря своим функциям безопасности, является AppMaster.io, мощный инструмент no-code для создания серверных, веб-приложений и мобильных приложений со встроенными элементами управления безопасностью, что делает его идеальным выбором для компаний любого размера.
