В последние годы технологии low-code и no-code становятся все более популярными, что подтверждается прогнозом Gartner о том, что к 2024 году 65% разработки приложений будут основаны на этих революционных инструментах. Они предоставляют упрощенный набор стандартных блоков, облегчая создание индивидуальных ИТ-решений для различных отраслей. Однако, как и в случае с любой новой технологией, существуют потенциальные риски, и пользователи могут по понятным причинам беспокоиться о безопасности платформы low-code и no-code.
Понимание различных типов платформ
Перед оценкой рисков безопасности важно определить желаемую функциональность платформы low-code или no-code. Как правило, эти платформы предлагают ряд компонентов, таких как текстовые поля, средства выбора даты/времени и ввод чисел, которые можно настроить для создания индивидуального решения. Данные, введенные с помощью этих компонентов, остаются на платформе, что упрощает анализ безопасности. Во многих отношениях эти компоненты аналогичны компонентам обычных платформ SaaS.
Платформы с этими содержащимися компонентами можно классифицировать как «содержащие». Настоящим отличием этого нового поколения инструментов является облако, которое сделало API (интерфейсы прикладного программирования) все более распространенным явлением. Поскольку эти платформы облегчают извлечение, преобразование и интеграцию данных в различные системы, они выводят разработку low-code и no-code на новую высоту.
Представьте себе сценарий, в котором ваша команда взаимодействует с потенциальным клиентом на мероприятии. Получив некоторую информацию от потенциального клиента и введя ее в приложение low-code или no-code, приложение создает возможность Salesforce в вашем рабочем процессе продаж, назначает менеджера по работе с клиентами и обновляет ваш инструмент маркетинга по электронной почте. Весь этот процесс можно выполнить за короткое время с помощью этих инструментов разработки, обеспечивающих бесперебойные рабочие процессы, которые приносят пользу вашему бизнесу.
Однако подключенные платформы напрямую взаимодействуют с другими службами для ввода, вывода данных или того и другого, что подчеркивает потенциальные риски, связанные с подключенными системами.
Связанные риски
Подключенные low-code и no-code платформы влекут за собой потерю контроля над хранением и обработкой данных. Когда вы используете подключенную платформу для сбора данных из такой службы, как Marketo, и отправляете их в другую внешнюю службу, определить связанные с этим риски может быть сложно. Еще больше усложняет ситуацию то, что подключения к сторонним службам часто устанавливаются с учетными данными человека, а не с выделенной учетной записью службы. В результате доступ к данным может регистрироваться под лицом, установившим соединение, а не под фактическим пользователем.
Это отсутствие детализации создает серьезные проблемы с безопасностью, поскольку команды теряют понимание того, кто получает доступ к данным. Более того, служба безопасности долгое время боролась за поддержание прозрачности ИТ-среды компании. Быстрое внедрение платформ low-code и no-code может усугубить эти пробелы в видимости, если отрасль не созреет, чтобы удовлетворить требования предприятия.
Адаптация к Low-Code и No-Code Security
Несмотря на проблемы с безопасностью, платформы low-code и no-code предлагают значительные преимущества для бизнеса и позволяют командам более эффективно решать проблемы. Чтобы безопасно внедрить эти решения, пользователи должны начать с оценки рисков, чтобы определить, «подключена» ли платформа. При подключении проверьте учетные данные, используемые для связи сторонних служб, и по возможности используйте учетные записи служб.
Затем изучите возможности ведения журнала платформы и убедитесь, что они включены как для платформы, так и для ее соединений. Сохранение информации об этих действиях имеет решающее значение для оперативного решения любых проблем с утечкой или разглашением данных.
После изучения основ пользователи могут сосредоточиться на более сложных проблемах безопасности. Например, такие организации, как OWASP, уже начали изучать десятку основных угроз, характерных для разработки low-code и no-code. Это исследование может помочь пользователям ориентироваться в своих усилиях и применять передовые методы обеспечения безопасности в будущем.
Прогноз Gartner не предполагает, что традиционные методы разработки устареют. Вместо этого платформы low-code и no-code устраняют барьеры и позволяют более широкому кругу пользователей решать свои задачи. Среди них AppMaster стала заметной платформой no-code, предоставляющей мощные инструменты для разработки серверных, веб-приложений и мобильных приложений. При разумном подходе платформы low-code и no-code дают возможность представить современные концепции безопасности новому поколению пользователей, с самого начала создавая устойчивые и безопасные решения.
