低代碼/無代碼平臺為網(wǎng)絡(luò)安全帶來哪些挑戰(zhàn)?

通常，應(yīng)用程序開發(fā)需要花費大量的時間來規(guī)劃、設(shè)計、測試和優(yōu)化編寫的代碼。為了滿足日益增長的快速應(yīng)用程序開發(fā)需求，公司現(xiàn)在意識到DevOps可以擴大開發(fā)人員和IT運營商之間的協(xié)作。其中一種方法是低代碼、無代碼技術(shù)。隨著低代碼開發(fā)市場的快速發(fā)展，預(yù)計到2021年將增加138億美元。

近年來，低代碼平臺已經(jīng)出現(xiàn)在技術(shù)領(lǐng)域，通過可視化工具取代代碼編寫，實現(xiàn)更快的應(yīng)用程序開發(fā)。沒有代碼屬于“低代碼”這一術(shù)語，這意味著軟件的設(shè)計和創(chuàng)建不需要代碼。想想像WordPress或Wix.com這樣擁有網(wǎng)頁設(shè)計工具的平臺。

讓我們來看看圍繞這些平臺的最常見的安全挑戰(zhàn)。

缺乏透明度

當談到低代碼技術(shù)時，可能最大的挑戰(zhàn)是公司無法控制員工開發(fā)的內(nèi)容。如果沒有IT方面的透明度，就很難管理正在構(gòu)建的內(nèi)容，公司也會失去對其低代碼安全風(fēng)險的跟蹤。

其中大部分與非代碼流程有關(guān)，這些流程已簡化、可轉(zhuǎn)移且可供未經(jīng)培訓(xùn)的員工使用。在傳統(tǒng)的軟件開發(fā)中，專家和開發(fā)人員在整個安全軟件開發(fā) (SSDLC) 生命周期中共同編寫代碼。

為了避免這個問題，組織在開發(fā)應(yīng)用程序時應(yīng)該積極關(guān)注開放可見性。對于無代碼工作場所，可以通過云解決方案來實現(xiàn)。有了基于云的平臺，就有了更大的工作流集成，這為可見性和跟蹤提供了機會。

缺少數(shù)據(jù)監(jiān)管

在談?wù)摂?shù)據(jù)管理時，一個常見的問題是：誰有權(quán)訪問數(shù)據(jù)，數(shù)據(jù)是如何受限制或使用的。畢竟，數(shù)據(jù)對任何公司來說都是寶貴的資產(chǎn)，而且存在被惡意利用的風(fēng)險。組織允許的控制級別因平臺而異。

當涉及到數(shù)據(jù)時，它可以指代被利用風(fēng)險較低的數(shù)據(jù)。例如，如果一個組織的分流系統(tǒng)存在代碼泄漏，這并不是一個真正的問題。另一方面，無論大小，組織通常都擁有黑客可以利用的業(yè)務(wù)運營中使用的關(guān)鍵數(shù)據(jù)。想想客戶地址簿、獨特的商業(yè)軟件、敏感的銀行信息等等。發(fā)生數(shù)據(jù)泄露會給公司帶來很大的麻煩。

例如，作為一個媒體管理和存儲工具，Dropbox允許用戶共享、授權(quán)或限制數(shù)據(jù)，并跟蹤更改變化。然而，在數(shù)據(jù)管理領(lǐng)域，有更復(fù)雜的工具可以提供更深入的日志記錄、重新共享和訪問控制(選擇性地分配訪問級別)，而這些工具在許多無代碼業(yè)務(wù)應(yīng)用程序中是找不到的。

缺乏審計或系統(tǒng)提供商

由于低代碼企業(yè)的構(gòu)建者和所有者本身就是公司，他們也采取了預(yù)防措施來保護自己的數(shù)字資產(chǎn)。從這些供應(yīng)商那里獲得幫助的公司無法訪問程序代碼或進行控制。這樣，他們就不可能完全檢查這些系統(tǒng)，以識別或檢測軟件錯誤。

希望執(zhí)行安全控制的客戶必須在可用資源的限制范圍內(nèi)這樣做。例如：

第三方代碼安全審計

進行黑盒測試

法定證書和協(xié)議

獲得網(wǎng)絡(luò)安全保險

為了讓客戶放心，低代碼提供商已開始遵循更清晰的加密方法。同樣，安全審查代碼的透明度或呈現(xiàn)方式完全取決于所選擇的平臺。

基于業(yè)務(wù)的邏輯錯誤

低代碼業(yè)務(wù)解決方案具有內(nèi)置權(quán)限和各種控制功能，通?；趯蛻羝玫亩床旌拖惹暗姆治?。這使企業(yè)可以輕松構(gòu)建安全的應(yīng)用程序。但當從業(yè)務(wù)角度看待軟件開發(fā)而忽略 IT方面時，就會出現(xiàn)問題。這也很常見，因為現(xiàn)在構(gòu)建應(yīng)用程序要容易得多，這可以可以看作是更多的非技術(shù)工作和更少的代碼沖突。然而，任何技術(shù)都存在安全風(fēng)險。

當這種情況發(fā)生時，人們就會在低代碼或無代碼平臺上迷失自己的創(chuàng)造力或業(yè)務(wù)，并最終犯錯誤。業(yè)務(wù)邏輯問題不能用工具識別，因為它們主要是由人為錯誤引起的。

綜述

眾所周知，無代碼平臺基于便利性和易用性有其自身的優(yōu)勢。另一方面，這些平臺用有問題的安全方法來支付傳統(tǒng)的代價。底線是，必須應(yīng)用代碼級別的網(wǎng)絡(luò)犯罪保護和安全加密程序，尤其是在“全民開發(fā)”進行應(yīng)用程序開發(fā)時。

文章來源：

https://gbhackers.com/security-challenges-in-low-code-no-code-platforms/