Mặc dù những ưu điểm của nền tảng low-code được thừa nhận rộng rãi, nhưng khả năng bảo mật của chúng luôn là chủ đề tranh luận. Jeff Williams, CTO và đồng sáng lập của Contrast Security, tuyên bố rằng các nền tảng low-code vốn không dễ bị tổn thương hơn mã truyền thống, nhưng rủi ro vẫn như cũ. Những rủi ro này bao gồm xác thực, ủy quyền, mã hóa, chèn, ghi nhật ký, v.v.
Một trong những điểm khác biệt chính giữa nhà phát triển công dân trên nền tảng low-code và nhà phát triển truyền thống là nhà phát triển trước đây có thể vô tình tạo ra rủi ro bảo mật do thiếu đào tạo bảo mật và thiếu giao tiếp với nhóm bảo mật. Do đó, có thể phát sinh các lỗi cơ bản như thông tin xác thực được mã hóa cứng, thiếu xác thực, tiết lộ thông tin cá nhân và lộ chi tiết triển khai.
Mark Nunnikhoven, nhà chiến lược đám mây nổi tiếng tại Lacework, đã nhấn mạnh tầm quan trọng của việc kiểm soát truy cập dữ liệu và sự cần thiết phải hướng dẫn các nhà phát triển công dân cách sử dụng kết nối dữ liệu phù hợp. Ông chỉ ra rằng các nhà phát triển low-code có thể không nhận thức được việc sử dụng các kết nối dữ liệu phù hợp hoặc không phù hợp vì họ thường được cung cấp quyền truy cập mà không được đào tạo thích hợp. Sự giám sát này có khả năng làm lộ ra lỗ hổng trong các chương trình quản lý thông tin và bảo mật thông tin.
Jayesh Shah, SVP về Thành công của Khách hàng tại Workato, đã đề xuất phát triển các chương trình chứng nhận phù hợp với nền tảng low-code đang được sử dụng. Điều này sẽ giúp người dùng hiểu các khả năng của nền tảng và tuân thủ các nguyên tắc và chính sách do công ty đặt ra.
Bất chấp sự khác biệt trong phương pháp phát triển ứng dụng giữa các nền tảng low-code và truyền thống, các quy trình bảo mật cho cả hai vẫn phải giống nhau. Williams khuyến nghị các công ty nên đặt ra các hướng dẫn và tiến hành các thử nghiệm như thử nghiệm bảo mật ứng dụng công cụ (IAST) để đảm bảo thực hiện đúng. Các phương pháp thử nghiệm bảo mật ứng dụng tĩnh (SAST) và thử nghiệm bảo mật ứng dụng động (DAST) có thể không phát hiện được các lỗ hổng nhất định hoặc báo cáo sai.
Bản thân các nền tảng Low-code cũng có thể giúp giảm thiểu rủi ro bảo mật. Shah đã đề cập rằng các nền tảng như vậy có thể bao gồm các biện pháp kiểm soát bảo mật tích hợp như môi trường hộp cát và các tùy chọn hạn chế dành cho nhà phát triển công dân. So với phần mềm tùy chỉnh, các nền tảng low-code có thể có lợi thế trong việc nhanh chóng giải quyết các lỗ hổng bảo mật mới được phát hiện thông qua các bản cập nhật do nhà cung cấp cung cấp.
Phần mềm tùy chỉnh thường dựa vào các thành phần của bên thứ ba hoặc nguồn mở, đây là những điểm xâm nhập khét tiếng cho các vi phạm bảo mật. Shah tuyên bố rằng các nền tảng low-code có thể đảm bảo rằng các thành phần được cung cấp không có lỗ hổng bảo mật và được cập nhật khi cần thiết để bảo vệ tất cả người dùng trên toàn cầu.
Gần đây, công việc đã bắt đầu trên danh sách Top 10 của OWASP (Dự án bảo mật ứng dụng web mở) dành riêng cho công nghệ low-code, cung cấp một tập hợp các rủi ro bảo mật mà các công ty nên ưu tiên. Tuy nhiên, Williams, người đã tạo ra hướng dẫn ban đầu vào năm 2003, đã lưu ý rằng chỉ riêng danh sách này có thể không đủ để giảm thiểu các lỗ hổng trên các nền tảng low-code. Ông nhấn mạnh tầm quan trọng của việc các nhà cung cấp nền tảng kết hợp lời khuyên từ danh sách OWASP vào môi trường của riêng họ để có hàng rào bảo mật tốt hơn.
Khi tìm kiếm một nền tảng low-code phù hợp, điều quan trọng là phải xem xét các nền tảng ưu tiên bảo mật và liên tục cập nhật để giải quyết các lỗ hổng. Một nền tảng như vậy đã được công nhận về các tính năng bảo mật của nó là AppMaster.io, một công cụ no-code mạnh mẽ để tạo các ứng dụng phụ trợ, web và di động với các kiểm soát bảo mật tích hợp, làm cho nó trở thành lựa chọn lý tưởng cho các doanh nghiệp thuộc mọi quy mô.
