低代码/无代码平台为网络安全带来哪些挑战?

通常，应用程序开发需要花费大量的时间来规划、设计、测试和优化编写的代码。为了满足日益增长的快速应用程序开发需求，公司现在意识到DevOps可以扩大开发人员和IT运营商之间的协作。其中一种方法是低代码、无代码技术。随着低代码开发市场的快速发展，预计到2021年将增加138亿美元。

近年来，低代码平台已经出现在技术领域，通过可视化工具取代代码编写，实现更快的应用程序开发。没有代码属于“低代码”这一术语，这意味着软件的设计和创建不需要代码。想想像WordPress或Wix.com这样拥有网页设计工具的平台。

让我们来看看围绕这些平台的最常见的安全挑战。

缺乏透明度

当谈到低代码技术时，可能最大的挑战是公司无法控制员工开发的内容。如果没有IT方面的透明度，就很难管理正在构建的内容，公司也会失去对其低代码安全风险的跟踪。

其中大部分与非代码流程有关，这些流程已简化、可转移且可供未经培训的员工使用。在传统的软件开发中，专家和开发人员在整个安全软件开发 (SSDLC) 生命周期中共同编写代码。

为了避免这个问题，组织在开发应用程序时应该积极关注开放可见性。对于无代码工作场所，可以通过云解决方案来实现。有了基于云的平台，就有了更大的工作流集成，这为可见性和跟踪提供了机会。

缺少数据监管

在谈论数据管理时，一个常见的问题是：谁有权访问数据，数据是如何受限制或使用的。毕竟，数据对任何公司来说都是宝贵的资产，而且存在被恶意利用的风险。组织允许的控制级别因平台而异。

当涉及到数据时，它可以指代被利用风险较低的数据。例如，如果一个组织的分流系统存在代码泄漏，这并不是一个真正的问题。另一方面，无论大小，组织通常都拥有黑客可以利用的业务运营中使用的关键数据。想想客户地址簿、独特的商业软件、敏感的银行信息等等。发生数据泄露会给公司带来很大的麻烦。

例如，作为一个媒体管理和存储工具，Dropbox允许用户共享、授权或限制数据，并跟踪更改变化。然而，在数据管理领域，有更复杂的工具可以提供更深入的日志记录、重新共享和访问控制(选择性地分配访问级别)，而这些工具在许多无代码业务应用程序中是找不到的。

缺乏审计或系统提供商

由于低代码企业的构建者和所有者本身就是公司，他们也采取了预防措施来保护自己的数字资产。从这些供应商那里获得帮助的公司无法访问程序代码或进行控制。这样，他们就不可能完全检查这些系统，以识别或检测软件错误。

希望执行安全控制的客户必须在可用资源的限制范围内这样做。例如：

第三方代码安全审计

进行黑盒测试

法定证书和协议

获得网络安全保险

为了让客户放心，低代码提供商已开始遵循更清晰的加密方法。同样，安全审查代码的透明度或呈现方式完全取决于所选择的平台。

基于业务的逻辑错误

低代码业务解决方案具有内置权限和各种控制功能，通常基于对客户偏好的洞察和先前的分析。这使企业可以轻松构建安全的应用程序。但当从业务角度看待软件开发而忽略 IT方面时，就会出现问题。这也很常见，因为现在构建应用程序要容易得多，这可以可以看作是更多的非技术工作和更少的代码冲突。然而，任何技术都存在安全风险。

当这种情况发生时，人们就会在低代码或无代码平台上迷失自己的创造力或业务，并最终犯错误。业务逻辑问题不能用工具识别，因为它们主要是由人为错误引起的。

综述

众所周知，无代码平台基于便利性和易用性有其自身的优势。另一方面，这些平台用有问题的安全方法来支付传统的代价。底线是，必须应用代码级别的网络犯罪保护和安全加密程序，尤其是在“全民开发”进行应用程序开发时。

文章来源：

https://gbhackers.com/security-challenges-in-low-code-no-code-platforms/