低代码/无代码平台为网络安全带来哪些挑战?
通常,应用程序开发需要花费大量的时间来规划、设计、测试和优化编写的代码。为了满足日益增长的快速应用程序开发需求,公司现在意识到DevOps可以扩大开发人员和IT运营商之间的协作。其中一种方法是低代码、无代码技术。随着低代码开发市场的快速发展,预计到2021年将增加138亿美元。
近年来,低代码平台已经出现在技术领域,通过可视化工具取代代码编写,实现更快的应用程序开发。没有代码属于“低代码”这一术语,这意味着软件的设计和创建不需要代码。想想像WordPress或Wix.com这样拥有网页设计工具的平台。
让我们来看看围绕这些平台的最常见的安全挑战。
缺乏透明度
当谈到低代码技术时,可能最大的挑战是公司无法控制员工开发的内容。如果没有IT方面的透明度,就很难管理正在构建的内容,公司也会失去对其低代码安全风险的跟踪。
其中大部分与非代码流程有关,这些流程已简化、可转移且可供未经培训的员工使用。在传统的软件开发中,专家和开发人员在整个安全软件开发 (SSDLC) 生命周期中共同编写代码。
为了避免这个问题,组织在开发应用程序时应该积极关注开放可见性。对于无代码工作场所,可以通过云解决方案来实现。有了基于云的平台,就有了更大的工作流集成,这为可见性和跟踪提供了机会。
缺少数据监管
在谈论数据管理时,一个常见的问题是:谁有权访问数据,数据是如何受限制或使用的。毕竟,数据对任何公司来说都是宝贵的资产,而且存在被恶意利用的风险。组织允许的控制级别因平台而异。
当涉及到数据时,它可以指代被利用风险较低的数据。例如,如果一个组织的分流系统存在代码泄漏,这并不是一个真正的问题。另一方面,无论大小,组织通常都拥有黑客可以利用的业务运营中使用的关键数据。想想客户地址簿、独特的商业软件、敏感的银行信息等等。发生数据泄露会给公司带来很大的麻烦。
例如,作为一个媒体管理和存储工具,Dropbox允许用户共享、授权或限制数据,并跟踪更改变化。然而,在数据管理领域,有更复杂的工具可以提供更深入的日志记录、重新共享和访问控制(选择性地分配访问级别),而这些工具在许多无代码业务应用程序中是找不到的。
缺乏审计或系统提供商
由于低代码企业的构建者和所有者本身就是公司,他们也采取了预防措施来保护自己的数字资产。从这些供应商那里获得帮助的公司无法访问程序代码或进行控制。这样,他们就不可能完全检查这些系统,以识别或检测软件错误。
希望执行安全控制的客户必须在可用资源的限制范围内这样做。例如:
第三方代码安全审计
进行黑盒测试
法定证书和协议
获得网络安全保险
为了让客户放心,低代码提供商已开始遵循更清晰的加密方法。同样,安全审查代码的透明度或呈现方式完全取决于所选择的平台。
基于业务的逻辑错误
低代码业务解决方案具有内置权限和各种控制功能,通常基于对客户偏好的洞察和先前的分析。这使企业可以轻松构建安全的应用程序。但当从业务角度看待软件开发而忽略 IT方面时,就会出现问题。这也很常见,因为现在构建应用程序要容易得多,这可以可以看作是更多的非技术工作和更少的代码冲突。然而,任何技术都存在安全风险。
当这种情况发生时,人们就会在低代码或无代码平台上迷失自己的创造力或业务,并最终犯错误。业务逻辑问题不能用工具识别,因为它们主要是由人为错误引起的。
综述
众所周知,无代码平台基于便利性和易用性有其自身的优势。另一方面,这些平台用有问题的安全方法来支付传统的代价。底线是,必须应用代码级别的网络犯罪保护和安全加密程序,尤其是在“全民开发”进行应用程序开发时。
文章来源:
https://gbhackers.com/security-challenges-in-low-code-no-code-platforms/