0
0
A nova tendência no desenvolvimento de aplicativos corporativos: criar novos aplicativos sem escrever código. As plataformas de desenvolvimento com “código baixo” ou “sem código” oferecem a promessa de desenvolvimento rápido de aplicativos – geralmente por especialistas em unidades de negócios ou no assunto – sem a sobrecarga do desenvolvimento tradicional pelos desenvolvedores tradicionais.
A questão é se nenhum código também significa falta de segurança.
De sistemas de gerenciamento de conteúdo como WordPress a criadores de aplicativos corporativos como Appian, as plataformas sem código baixo destinam-se a permitir que os desenvolvedores se concentrem na lógica do aplicativo, enquanto os detalhes do dispositivo, rede de entrega e interfaces do usuário são deixados para a plataforma. “Os modelos de desenvolvimento de código baixo e sem código são poderosos e democratizam o desenvolvimento para usuários não técnicos criarem facilmente fluxos de trabalho poderosos”, diz Vinay Mamidi, diretor sênior de gerenciamento de projetos da Virsec. “Mas sempre há um problema: enquanto desenvolvedores treinados podem ter níveis variados de habilidade em segurança, os desenvolvedores sem código geralmente ignoram as melhores práticas ou riscos de segurança”.
O treinamento é importante?
Embora os desenvolvedores de unidades de negócios possam não ter a experiência em segurança de desenvolvedores de software corporativos treinados, a suposição operacional é que as próprias plataformas incorporam segurança ao produto final. “O ônus passa para a estrutura dos desenvolvedores da [plataforma], para que [os usuários da plataforma] não precisem entender a codificação segura”, explica Jason Kent, hacker residente na Cequent. “Mas isso pressupõe que a estrutura seja escrita com segurança”.
Essa suposição pode ser boa, se a estrutura estiver sendo usada da maneira como foi planejada.
Ali Golshan, CTO e cofundador da StackRox, considera que empresas menores, com equipe de desenvolvimento limitada e linhas de negócios que criam aplicativos que não são críticos para a empresa, são bons casos de uso, porque, “… há um grande avanço [em segurança] porque existe um denominador comum em relação às melhores práticas e implementações de segurança que os provedores de estrutura constroem em seu próprio SDLC [ciclo de vida de desenvolvimento de software] “.
O denominador comum em segurança pode incluir algumas das funções básicas que devem fazer parte do desenvolvimento seguro de aplicativos, mas geralmente são ignoradas. “[O desenvolvimento sem código] também tem a vantagem de aumentar a barreira de segurança, pois a maioria das vulnerabilidades de nível inferior, decorrentes da falta de validação de entrada e verificações de integridade de código, são resolvidas pela plataforma”, diz Mounir Hahad, chefe de Juniper Threat Labs na Juniper Networks.
Mas essas coisas não assumem a responsabilidade pela segurança da equipe de desenvolvimento de aplicativos.
Os invasores estão sempre procurando maneiras de acessar aplicativos da Web e móveis.
Melhores práticas sem código
“De maneira alguma isso resolve o problema geral de proteger um aplicativo”, diz Hahad, continuando: “Ainda é necessário fazer o patch para subsistemas vulneráveis e código de terceiros, por exemplo”.
As mesmas características que tornam o desenvolvimento sem código tão produtivo para algumas organizações podem trazer desafios quando se trata de segurança. “Com plataformas sem código, as empresas perdem rapidamente a visibilidade sobre processos críticos e uso de dados, e os usuários podem criar facilmente uma lógica comercial que expõe informações sigilosas ou regulamentadas”, diz Mamidi. Ele diz que as organizações que usam desenvolvimento sem código devem fazer planos específicos de segurança (e conformidade regulamentar) desde o início do processo.
“As empresas devem encontrar maneiras de auditar processos e fornecedores e manter uma supervisão de segurança razoável, mesmo que isso torne o processo um pouco menos conveniente”, diz Mamidi.
Como parte do processo de auditoria e segurança, Golshan ressalta que é importante saber o que realmente está acontecendo no aplicativo.
“Você deseja implantar seu aplicativo em um ambiente nativo da nuvem, onde existe alguma noção de registro profundo”, diz ele, explicando que o rastreamento e a criação de suporte para ambientes de microsserviços são críticos.
As parcerias são importantes
Para impedir que “no-code” se torne sinônimo de “shadow IT”, é importante uma parceria profunda entre a equipe que cria os aplicativos e a equipe de segurança da organização. “Existe muita resistência do lado da segurança e do desenvolvedor para dar esse primeiro passo, mas é fundamental. É fundamental que as organizações incentivem isso”, diz Matt Keil, diretor de marketing de produtos da Cequence.
Keil diz que a introdução do desenvolvimento sem código pode realmente ser o impulso para iniciar a conversa crítica entre segurança e desenvolvedores. “Acho que a abordagem certa é se envolver com o grupo de negócios em uma conversa. Não aja como ‘Doutor Não’, que continuará a promover a divisão entre segurança e equipe de desenvolvimento”, continua ele.
Entre as áreas que Golshan considera que devem ser consideradas estão as que controlam quem (e o que) tem acesso ao aplicativo. “Acho que uma das áreas em que o código baixo / sem código tem o potencial de melhorar realmente é como ele lida com gerenciamento de acesso, autenticação e autorização”, diz ele.
E para todas as áreas que devem ser consideradas, os especialistas apontam os documentos produzidos pelo NIST como estruturas úteis para as organizações se apoiarem. Embora alguns considerem os documentos do NIST como úteis principalmente para organizações governamentais, os princípios podem ser valiosos para qualquer organização, especialmente para aqueles que desejam desenvolver uma nova metodologia.
Em última análise, porém, a melhor chance de sucesso pode ser ter alguém que garanta que a organização não esqueça a segurança. “As organizações mais bem-sucedidas que eu vejo têm um arquiteto de segurança de aplicativos – alguém com um pé na segurança e um pé no desenvolvimento”, diz Kent. “Eles podem identificar e definir com mais facilidade os tipos de controle necessários para tornar o código baixo, sem ambientes de código seguros e ainda colaborativos”.
FONTE: DARK READING