0
0
Há um impulso maior para o que está sendo apelidado de desenvolvedor cidadão, juntamente com o desejo de capacitar o desenvolvimento e a criação de aplicativos por não-desenvolvedores. Isso é normalmente facilitado usando estruturas de código baixo ou sem código. Essas frameworks e ferramentas permitem que os não-desenvolvedores usem uma GUI para pegar e mover componentes para tornar aplicativos amigáveis à lógica dos negócios.
Capacitar a comunidade de TI e de negócios mais ampla para criar aplicativos para impulsionar o valor dos negócios tem um apelo óbvio. Dito isso, o uso de código baixo e nenhuma plataforma de código não é sem suas próprias preocupações de segurança. Assim como qualquer outro produto de software, o rigor que entra no desenvolvimento da plataforma e seu código associado é uma preocupação que não deve ser negligenciada.ANÚNCIO
O que é desenvolvimento de código baixo/ sem código?
Ferramentas e plataformas sem código usam uma interface de arrastar e soltar para permitir que não-programadores, como analistas de negócios, criem ou modifiquem aplicativos. Em alguns casos, a codificação real (código baixo) pode ser necessária para integração com outros aplicativos, geração de relatórios ou modificação da interface do usuário. Isso é normalmente feito usando uma linguagem de programação de alto nível como SQL ou Python.
Exemplos de plataformas de baixo código/sem código incluem Salesforce Lightning, FileMaker, Microsoft PowerApps e Google App Maker. Essas são as quatro preocupações de segurança mais importantes para o uso dessas plataformas.I-A Verde: A cor do dinheirohttps://imasdk.googleapis.com/js/core/bridge3.502.0_en.html#goog_12999438060 segundos de 21 minutos, 50 segundosVolume 0%
1. Baixa visibilidade em aplicativos de código/não-código
Usar uma plataforma que foi desenvolvida por uma parte externa sempre vem com preocupações de visibilidade. Você está consumindo o software e, portanto, não sabe sobre o código-fonte, vulnerabilidades associadas ou potencialmente o nível de teste e rigor que a plataforma sofreu.
Isso poderia ser mitigado aproveitando práticas como a solicitação de uma conta de software de materiais (SBOM) do fornecedor. Isso forneceria informações sobre os componentes de software que ele contém e suas vulnerabilidades associadas. O uso de SBOMs está em alta, com o último estudo da Linux Foundation indicando que 78% das organizações planejam usar SBOMs em 2022. Dito isto, o uso de SBOMs ainda está amadurecendo e há muito espaço para a indústria normalizar em práticas, processos e ferramentas.
2. Código inseguro
A retirada das preocupações de visibilidade é a possibilidade de um código inseguro. Plataformas de código baixo e sem código ainda têm código; eles apenas abstraíram a codificação e permitiram que o usuário final, em vez disso, usasse a funcionalidade de código pré-fornecida. Isso é ótimo, pois evita que o não-desenvolvedor precise de autor do próprio código. Onde fica problemático é quando o código que é usado é inseguro e é extrapolado entre organizações e aplicativos através das plataformas de código baixo e sem código.[ Relatório GRATUITO! Saiba como os CIOs líderes estão maximizando a utilidade dos dados coletados através de vários canais. Baixe agora! ]
Uma maneira de resolver isso é trabalhar com o fornecedor da plataforma para pedir resultados de varredura de segurança para o código que é usado dentro da plataforma. Os resultados da varredura, como os dos testes estáticos e dinâmicos de segurança de aplicativos (SAST/DAST), podem dar aos consumidores um nível de garantia de que eles não estão apenas replicando códigos inseguros. A ideia de código criado fora do controle de uma organização não é um conceito novo e é predominante no uso desenfreado de software de código aberto, que é usado por mais de 98% das organizações e com ameaças da cadeia de fornecimento de software associadas a outros repositórios também, como aqueles para modelos de infraestrutura como código (IaC).
Outro aspecto a considerar é que muitas plataformas de código baixo e sem código são entregues como software como um serviço (SaaS). Isso coloca você em posição de solicitar certificações do setor como ISO, SOC2, FedRAMP e outros do fornecedor. Isso fornece mais segurança sobre os controles operacionais e de segurança da organização aplicáveis ao próprio aplicativo/plataforma SaaS.
Os aplicativos SaaS apresentam muitos riscos de segurança e justificam o rigor adequado de governança e segurança. Sem examinar corretamente os aplicativos e plataformas saaS que sua organização está usando, você pode estar expondo a organização a riscos indevidos. Isso é ainda mais exacerbado se as plataformas de código baixo e sem código forem usadas para desenvolver aplicativos que exponham dados organizacionais ou de clientes sensíveis.ANÚNCIO
3. TI de sombra fora de controle
Uma vez que plataformas de código baixo e sem código permitem que os aplicativos sejam rapidamente criados, mesmo por aqueles sem antecedentes de desenvolvimento, também pode levar a uma TI de sombra desenfreada. A Shadow IT ocorre quando unidades de negócios e funcionários criam aplicativos e os expõem internamente dentro da organização ou externamente ao mundo. Esses aplicativos poderiam abrigar dados organizacionais, clientes ou regulamentados sensíveis, o que poderia ter uma série de implicações para a organização se esses aplicativos fossem comprometidos em uma violação de dados.
4. Interrupção dos negócios
Do ponto de vista da continuidade dos negócios, a dependência de plataformas de código baixo e sem código entregues como serviço pode atrapalhar os negócios se essa plataforma sofrer uma paralisação. É importante que as organizações estabeleçam contratos de nível de serviço (SLAs) para aplicativos críticos aos negócios, incluindo plataformas de código baixo e sem código.
Dicas para mitigar o risco do desenvolvimento de códigos baixos/sem código
As melhores práticas comuns de segurança podem mitigar os riscos descritos acima, independentemente da tecnologia envolvida, incluindo:
- Compre software e plataformas de fornecedores confiáveis com reputação respeitada do setor.
- Certifique-se de que esses fornecedores tenham certificações atestadas por terceiros para representar suas práticas e processos de segurança interna.
- Conta com plataformas de baixo código e sem código em seus inventários de aplicativos e software, bem como os aplicativos criados através de seu uso.
- Manter um bom controle de acesso; saber quem está acessando as plataformas e quais atividades eles podem realizar.
- Implemente práticas seguras de dados para entender onde residem seus dados críticos e se aplicativos criados usando plataformas de código baixo e sem código abrigam dados confidenciais.
- Saiba onde estão hospedadas plataformas de código/não código. As plataformas estão hospedadas em um provedor global de serviços em nuvem (CSP) hiperescala, como AWS, Google ou Microsoft Azure? Ou estão hospedados em um data center legado no local, limitado a nenhum controle de acesso físico e lógico?
Também é importante considerar a cultura de segurança da sua organização. Embora os usuários da plataforma não possam ser desenvolvedores ou profissionais de segurança por negociação, eles devem entender as implicações de segurança das plataformas e aplicativos de baixo código e sem código que estão usando e criando. Com grande poder vem grande responsabilidade como eles disseram, e isso é aplicável aqui com plataformas de código baixo e sem código.
FONTE: CSO ONLINE