แพลตฟอร์มรหัสต่ำและความเสี่ยงด้านความปลอดภัย: สิ่งที่บริษัทจำเป็นต้องทราบ

แม้ว่าข้อดีของแพลตฟอร์ม low-code จะได้รับการยอมรับอย่างกว้างขวาง แต่ความสามารถด้านความปลอดภัยยังเป็นหัวข้อถกเถียงอยู่เสมอ เจฟฟ์ วิลเลียมส์ ซีทีโอและผู้ร่วมก่อตั้ง Contrast Security กล่าวว่าแพลตฟอร์ม low-code ไม่ได้มีความเสี่ยงมากไปกว่าโค้ดแบบดั้งเดิม แต่ความเสี่ยงยังคงเหมือนเดิม ความเสี่ยงเหล่านี้รวมถึงการรับรองความถูกต้อง การอนุญาต การเข้ารหัส การแทรก การบันทึก และอื่นๆ

ข้อแตกต่างที่สำคัญประการหนึ่งระหว่างนักพัฒนาพลเมืองบนแพลตฟอร์ม low-code กับนักพัฒนาแบบดั้งเดิมคือ นักพัฒนาเดิมอาจสร้างความเสี่ยงด้านความปลอดภัยโดยไม่ได้ตั้งใจ เนื่องจากขาดการฝึกอบรมด้านความปลอดภัยและการสื่อสารกับทีมรักษาความปลอดภัย ข้อผิดพลาดพื้นฐาน เช่น ข้อมูลประจำตัวแบบฮาร์ดโค้ด ขาดการตรวจสอบสิทธิ์ การเปิดเผยข้อมูลส่วนบุคคล และการเปิดเผยรายละเอียดการใช้งานอาจเกิดขึ้นได้

Mark Nunnikhoven นักยุทธศาสตร์ระบบคลาวด์ที่โดดเด่นที่ Lacework เน้นความสำคัญของการควบคุมการเข้าถึงข้อมูลและความจำเป็นในการสอนนักพัฒนาพลเมืองให้ใช้การเชื่อมต่อข้อมูลอย่างเหมาะสม เขาชี้ให้เห็นว่านักพัฒนา low-code อาจไม่ทราบถึงการใช้การเชื่อมต่อข้อมูลที่เหมาะสมหรือไม่เหมาะสม เนื่องจากพวกเขามักได้รับสิทธิ์เข้าถึงโดยไม่ได้รับการฝึกอบรมที่เหมาะสม การกำกับดูแลนี้อาจทำให้เกิดช่องว่างในการจัดการข้อมูลและโปรแกรมการรักษาความปลอดภัยข้อมูล

Jayesh Shah รองประธานอาวุโสฝ่ายความสำเร็จของลูกค้าที่ Workato แนะนำให้พัฒนาโปรแกรมการรับรองที่ปรับให้เหมาะกับแพลตฟอร์มที่ใช้ low-code สิ่งนี้จะช่วยให้ผู้ใช้เข้าใจความสามารถของแพลตฟอร์มและปฏิบัติตามนโยบายและหลักเกณฑ์ที่บริษัทกำหนด

แม้จะมีความแตกต่างในวิธีการพัฒนาแอปพลิเคชันระหว่างแพลตฟอร์ม low-code และแบบดั้งเดิม แต่กระบวนการรักษาความปลอดภัยสำหรับทั้งสองควรยังคงเหมือนเดิม วิลเลียมส์แนะนำให้บริษัทต่างๆ กำหนดแนวทางและดำเนินการทดสอบ เช่น การทดสอบความปลอดภัยของแอปพลิเคชันเครื่องมือ (IAST) เพื่อให้แน่ใจว่ามีการใช้งานที่เหมาะสม วิธีการทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ (SAST) และการทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) อาจล้มเหลวในการตรวจจับช่องโหว่บางอย่างหรือรายงานผลบวกปลอม

แพลตฟอร์ม Low-code เองก็สามารถช่วยลดความเสี่ยงด้านความปลอดภัยได้ ชาห์กล่าวว่าแพลตฟอร์มดังกล่าวสามารถรวมการควบคุมความปลอดภัยในตัว เช่น สภาพแวดล้อมแบบแซนด์บ็อกซ์ และตัวเลือกที่จำกัดสำหรับนักพัฒนาที่เป็นพลเมือง เมื่อเปรียบเทียบกับซอฟต์แวร์แบบกำหนดเอง แพลตฟอร์ม low-code อาจมีข้อได้เปรียบในการแก้ไขช่องโหว่ด้านความปลอดภัยที่เพิ่งค้นพบอย่างรวดเร็วผ่านการอัปเดตที่ผู้จำหน่ายจัดเตรียมให้

ซอฟต์แวร์แบบกำหนดเองมักจะอาศัยส่วนประกอบของบุคคลที่สามหรือโอเพ่นซอร์ส ซึ่งเป็นจุดเริ่มต้นที่ฉาวโฉ่สำหรับการละเมิดความปลอดภัย ชาห์ระบุว่าแพลตฟอร์ม low-code สามารถรับประกันได้ว่าส่วนประกอบที่ให้มาไม่มีช่องโหว่ด้านความปลอดภัย และได้รับการอัปเดตตามความจำเป็นเพื่อปกป้องผู้ใช้ทั้งหมดทั่วโลก

เมื่อเร็วๆ นี้ งานได้เริ่มขึ้นในรายการ OWASP (Open Web Application Security Project) 10 อันดับแรกโดยเฉพาะสำหรับเทคโนโลยี low-code โดยระบุชุดความเสี่ยงด้านความปลอดภัยที่บริษัทต่างๆ ควรให้ความสำคัญ อย่างไรก็ตาม วิลเลียมส์ ผู้สร้างคู่มือต้นฉบับในปี 2546 ระบุว่า รายชื่อเพียงอย่างเดียวอาจไม่เพียงพอที่จะลดช่องโหว่บนแพลตฟอร์ม low-code เขาเน้นย้ำถึงความสำคัญของผู้จำหน่ายแพลตฟอร์มที่รวมคำแนะนำจากรายการ OWASP เข้ากับสภาพแวดล้อมของตนเองเพื่อการรักษาความปลอดภัยที่ดีขึ้น

เมื่อค้นหาแพลตฟอร์มที่ low-code ที่เหมาะสม สิ่งสำคัญคือต้องพิจารณาแพลตฟอร์มที่ให้ความสำคัญกับความปลอดภัยและอัปเดตอย่างต่อเนื่องเพื่อแก้ไขช่องโหว่ หนึ่งในแพลตฟอร์มดังกล่าวที่ได้รับการยอมรับในด้านคุณลักษณะด้านความปลอดภัยคือ AppMaster.io ซึ่งเป็นเครื่องมือ no-code อันทรงพลังสำหรับการสร้างแบ็กเอนด์ เว็บ และแอปพลิเคชันมือถือที่มีการควบคุมความปลอดภัยในตัว ทำให้เป็นตัวเลือกที่เหมาะสำหรับธุรกิจทุกขนาด