По мере развития технологий, low-code и no-code платформы все чаще находят применение внутри различных корпораций, средних и малых бизнесов. Однако, при внедрении новых методов работы возникают закономерные опасения по поводу потенциальных угроз безопасности, которые подвергают риску коммуникации и другие системы.
Так, в опросе No Jitter Dark Reading, проводившимся среди 136 специалистов в области IT и кибербезопасности, выяснилось, что 52% организаций внедряют low-code и no-code технологии в корпоративные процессы, но при этом выделяют следующие проблемы:
- 32% опрошенных отметили отсутствие контроля над тем, как эти технологии получают доступ к данным и используют их,
- 26% заявили, что не доверяют платформам, используемым для создания приложений,
- 26% обозначили, что не знают, как проверить наличие уязвимостей у таких платформ.
Контроль доступа к данным
Многие зерокодинговые и low-code приложения полагаются на хранение данных либо в управляемом хранилище, предоставляемом самой платформой, либо на сторонней интегрированной платформе. Сложность заключается в том, что они чрезвычайно упрощают для производителей внедрение своей идентификации в приложения. Получается, что каждый пользователь приложения в конечном итоге запускает операции от имени производителя.
В качестве примера можно взять популярный процесс из корпоративного сценария, автоматизированный при помощи методов без кода — электронная почта. Компания создает приложение для сотрудников, которое отслеживает их профессиональные почтовые ящики на предмет новых электронных писем, копирует их содержимое и отправляет на личные почты. При этом, копируя данные, приложение может легко обойти элементы управления DLP (система предотвращения утечек информации), которые препятствовали бы пересылке электронной почты.
Доверие к low-code и no-code
Создатели таких инструментов и платформ все чаще обращают внимание на обеспечение безопасности. Но впереди еще долгий путь, так как они только начинают привыкать к тому факту, что являются критически важными элементами бизнеса.
На бесплатном вебинаре-интервью с экспертом мы рассказываем про курс на FlutterFlow и сам инструмент. Это гибкий low-code конструктор мобильных приложений, позволяющий контролировать все аспекты разработки!
Тем временем, корпоративные клиенты рассчитывают на преимущества безопасности, предоставляемых pro-code (принцип написания кода с помощью стандартного языка программирования) платформами с их современными SOC (Security Operations Centers — Центры мониторинга информационной безопасности).
Часто зерокодинг-платформы полагаются на те же инструменты тестирования безопасности, что и приложения pro-code , но при этом из-за разной специфики работы методов, они не эффективны.
Однако, следует отметить, что безопасность является задачей обеих сторон — создатели платформы должны инвестировать в эту область, а клиенты — выяснить, как правильно работать с данным типом технологий в рамках своего бизнеса.
Наличие уязвимостей
Как убедиться, что код безопасен и надежен, без доступа к этому коду? Исходя из вышеперечисленных факторов, становится ясно, что в данном вопросе необходимы новые решения.
Возможно не стоит пытаться применять уже существующие инструменты, такие как сканирование кода или мониторинг веб-безопасности, к проектам, соданным на конструкторах. Группам безопасности следует использовать решения, которые понимают подход зерокодерских методов, чтобы идентифицировать логические уязвимости в приложениях. Ведь они в значительной степени зависят от готовых компонентов из Интернета или пользовательских интеграторов, созданных разработчиками. Эти компоненты часто неуправляемы, не имеют видимости и подвергают приложения соответствующим рискам.
Наглядно
Как и в случае с большинством технологий, no-code или low-code конструкторы сами по себе не является опасными. Поэтому, если уделять пристальное внимание возможным уязвимостям и инвестировать в безопасность с обеих сторон, предприятия смогут легко избежать вышеуказанных угроз и рисков.
