low-code platformların avantajları geniş çapta kabul görse de, güvenlik yetenekleri her zaman bir tartışma konusu olmuştur. Contrast Security'nin CTO'su ve kurucu ortağı Jeff Williams, low-code platformların doğası gereği geleneksel koddan daha savunmasız olmadığını, ancak risklerin aynı kaldığını belirtti. Bu riskler, kimlik doğrulama, yetkilendirme, şifreleme, yerleştirme, günlüğe kaydetme ve daha fazlasını içerir.
low-code platformlardaki vatandaş geliştiriciler ile geleneksel geliştiriciler arasındaki temel farklardan biri, birincisinin güvenlik eğitimi ve güvenlik ekibiyle iletişim eksikliği nedeniyle istemeden güvenlik riskleri oluşturabilmesidir. Sonuç olarak, sabit kodlanmış kimlik bilgileri, eksik kimlik doğrulama, kişisel bilgilerin ifşası ve uygulama ayrıntılarının açığa çıkması gibi temel hatalar ortaya çıkabilir.
Lacework'ün seçkin bulut stratejisti Mark Nunnikhoven, veri erişim kontrolünün önemini ve vatandaş geliştiricilere veri bağlantılarının uygun kullanımını öğretmenin gerekliliğini vurguladı. low-code geliştiricilerin, genellikle uygun eğitim olmadan erişim sağlandığı için veri bağlantılarının uygun veya uygunsuz kullanımının farkında olmayabileceklerine dikkat çekti. Bu gözetim, potansiyel olarak bilgi yönetimi ve bilgi güvenliği programlarındaki bir boşluğu ortaya çıkarabilir.
Workato'da Müşteri Başarısından Sorumlu Kıdemli Başkan Yardımcısı Jayesh Shah, kullanılan low-code platforma göre uyarlanmış sertifika programları geliştirmeyi önerdi. Bu, kullanıcıların platformun yeteneklerini anlamalarına ve şirket tarafından belirlenen politikalara ve yönergelere uymalarına yardımcı olacaktır.
low-code ve geleneksel platformlar arasındaki uygulama geliştirme yöntemlerindeki farklılıklara rağmen, her ikisi için de güvenlik süreçleri aynı kalmalıdır. Williams, şirketlerin doğru uygulamayı sağlamak için yönergeler oluşturmasını ve araçsal uygulama güvenlik testi (IAST) gibi testler yapmasını tavsiye etti. Statik uygulama güvenlik testi (SAST) ve dinamik uygulama güvenlik testi (DAST) yöntemleri, belirli güvenlik açıklarını yakalayamayabilir veya yanlış pozitifler bildirebilir.
Low-code platformların kendileri de güvenlik risklerini en aza indirmeye yardımcı olabilir. Shah, bu tür platformların, korumalı alan ortamları gibi yerleşik güvenlik kontrolleri ve vatandaş geliştiriciler için kısıtlı seçenekler içerebileceğinden bahsetti. Özel yazılımlarla karşılaştırıldığında, low-code platformlar, satıcı tarafından sağlanan güncellemeler yoluyla yeni keşfedilen güvenlik açıklarını hızlı bir şekilde ele alma konusunda bir avantaja sahip olabilir.
Özel yazılımlar genellikle, güvenlik ihlalleri için kötü şöhretli giriş noktaları olan üçüncü taraf veya açık kaynaklı bileşenlere dayanır. Shah, low-code platformların, sağlanan bileşenlerin güvenlik açıklarına sahip olmadığını ve küresel olarak tüm kullanıcıları korumak için gerektiğinde güncellendiğini garanti edebileceğini belirtti.
Son zamanlarda, şirketlerin öncelik vermesi gereken bir dizi güvenlik riski sağlayan, özellikle low-code teknolojisi için bir OWASP (Açık Web Uygulaması Güvenlik Projesi) İlk 10 listesi üzerinde çalışma başlatıldı. Ancak 2003 yılında orijinal kılavuzu oluşturan Williams, listenin tek başına low-code platformlardaki güvenlik açıklarını azaltmak için yeterli olmayabileceğini kaydetti. Daha iyi güvenlik korkulukları için OWASP listesindeki tavsiyeleri kendi ortamlarına dahil eden platform satıcılarının önemini vurguladı.
low-code uygun bir platform ararken, güvenliğe öncelik veren ve güvenlik açıklarını gidermek için sürekli güncellenen platformları dikkate almak çok önemlidir. Güvenlik özellikleriyle tanınan bu tür platformlardan biri, yerleşik güvenlik kontrolleriyle arka uç, web ve mobil uygulamalar oluşturmak için no-code güçlü bir araç olan AppMaster.io ve bu da onu her büyüklükteki işletme için ideal bir seçim haline getirir.
