虽然low-code平台的优势得到广泛认可,但它们的安全能力一直是争论的话题。 Contrast Security 的首席技术官兼联合创始人 Jeff Williams 表示, low-code平台本身并不比传统代码更容易受到攻击,但风险仍然相同。这些风险包括身份验证、授权、加密、注入、日志记录等。
low-code平台上的公民开发者与传统开发者的主要区别之一是,前者可能由于缺乏安全培训和与安全团队的沟通而无意中产生安全风险。结果可能会出现基本错误,例如硬编码凭据、身份验证缺失、个人信息泄露和实施细节暴露。
Lacework 的杰出云策略师 Mark Nunnikhoven 强调了数据访问控制的重要性,以及教会公民开发人员正确使用数据连接的必要性。他指出, low-code开发人员可能不知道数据连接的适当或不适当使用,因为他们经常在没有经过适当培训的情况下获得访问权限。这种疏忽可能会暴露信息管理和信息安全计划中的差距。
Workato 客户成功高级副总裁 Jayesh Shah 建议开发针对所使用的low-code平台量身定制的认证计划。这将帮助用户了解平台的功能并遵守公司制定的政策和准则。
尽管low-code和传统平台之间的应用程序开发方法有所不同,但两者的安全流程应该保持不变。威廉姆斯建议公司制定指导方针并进行测试,例如仪器应用程序安全测试 (IAST),以确保正确实施。静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 方法可能无法捕获某些漏洞或报告误报。
Low-code平台本身也可以帮助最大限度地降低安全风险。 Shah 提到,此类平台可以包括内置安全控制,例如沙盒环境和公民开发人员的受限选项。与定制软件相比, low-code平台在通过供应商提供的更新快速解决新发现的安全漏洞方面可能具有优势。
定制软件通常依赖于第三方或开源组件,这些组件是臭名昭著的安全漏洞切入点。 Shah 表示, low-code平台可以确保提供的组件不存在安全漏洞,并根据需要进行更新,以保护全球所有用户。
最近,专门针对low-code技术的 OWASP(开放 Web 应用程序安全项目)前 10 名列表开始工作,提供了一组公司应优先考虑的安全风险。然而,在 2003 年创建原始指南的 Williams 指出,单靠该列表可能不足以减少low-code平台上的漏洞。他强调了平台供应商将 OWASP 列表中的建议纳入他们自己的环境以获得更好的安全护栏的重要性。
在寻找合适的low-code平台时,至关重要的是要考虑优先考虑安全性并不断更新以解决漏洞的平台。 AppMaster.io是一款因其安全功能而获得认可的此类平台,这是一款功能强大的no-code工具,可用于创建具有内置安全控制的后端、Web 和移动应用程序,使其成为各种规模企业的理想选择。
