Quatro preocupações de segurança para o desenvolvimento de low-code e no-code

Low-code não significa baixo risco. Ao permitir que mais pessoas numa empresa desenvolvam aplicações, o desenvolvimento cria novas vulnerabilidades.

Por Chris Hughes

Há um impulso crescente para o que está a ser apelidado de “capacitação de cidadãos”, juntamente com o desejo de capacitar o desenvolvimento e criação de aplicações sem que seja necessário recorrer a programadores. Isto é geralmente facilitado usando estruturas de low-code e no-code. Estes quadros e ferramentas permitem que quem não seja programador utilizem um GUI para capturar e mover componentes para tornar as aplicações amigas da lógica do negócio.

Capacitar a TI e a comunidade empresarial de forma mais ampla para construir aplicações para gerar valor empresarial tem um apelo óbvio. Dito isto, a utilização de plataformas de low-code e no-code ainda tem as suas próprias preocupações de segurança. Como qualquer outro produto de software, o rigor no desenvolvimento da plataforma e do seu código associado é uma preocupação que não deve ser negligenciada.

O que é o desenvolvimento low-code/no-code?

Ferramentas e plataformas sem código utilizam um interface de arrastar e largar para permitir que colaboradores que não sejam programadores, como analistas de negócios, criem ou modifiquem aplicações. Em alguns casos, pode ser necessária codificação de (low-code) real para a integração com outras aplicações, relatórios ou modificação da interface do utilizador Isto é normalmente feito usando uma linguagem de programação de alto nível, como SQL ou Python.

Exemplos de plataformas de low-code e no-code incluem Salesforce Lightning, FileMaker, Microsoft PowerApps e Google App Maker. Estas são as quatro preocupações de segurança mais importantes para a utilização de tais plataformas.

1. Baixa visibilidade nas aplicações low-code/no-code

Usar uma plataforma que foi desenvolvida por uma parte externa traz sempre preocupações de visibilidade. Está a consumir o software e, portanto, não sabe do código fonte, vulnerabilidades associadas ou potencialmente o nível de teste e rigor que a plataforma passou.

Isto pode ser atenuado através de práticas como solicitar uma conta de software de materiais (SBOM) ao fornecedor. Isto forneceria informações sobre os componentes de software que contém e as suas vulnerabilidades associadas. O uso de SBOM está em alta, com o mais recente estudo da Fundação Linux indicando que 78% das organizações planeiam usar SBOM em 2022. Dito isto, a utilização de SBOMs ainda está a amadurecer e há muito espaço para a indústria uniformizar práticas, processos e ferramentas.

2. Código inseguro

Alinhar-se com preocupações de visibilidade é a possibilidade de código inseguro. As plataformas de low-code e no-code ainda têm código; apenas resumiu a codificação e permitiu que o utilizador final usasse a funcionalidade de código pré-fornecida. Isto é ótimo porque impede um não-programador de ter de criar o seu próprio código. Quando se torna problemático é quando o código utilizado é inseguro e é extrapolado entre organizações e aplicações através das plataformas de low-code e no-code.

Uma forma de resolver isto é trabalhar com o fornecedor da plataforma para solicitar os resultados da verificação de segurança para o código utilizado na plataforma. Os resultados da varredura, como os de testes de segurança de aplicações estáticas e dinâmicos (SAST/DAST) podem dar aos consumidores um nível de garantia de que não estão apenas a replicar códigos inseguros. A ideia de código criada fora do controlo de uma organização não é um novo conceito e é predominante no uso desenfreado de software de código aberto, que é usado por mais de 98% das organizações e também com ameaças de cadeia de fornecimento de software associadas a outros repositórios, como os de modelos de infraestrutura como o Código (IAC).

Outro aspeto a considerar é que muitas plataformas de low-code e no-code são entregues como software-as-a-service (SaaS). Isto coloca-o em posição de pedir ao fornecedor certificações da indústria como ISO, SOC2, FedRAMP, entre outros. Isto oferece mais garantias relativamente aos controlos operacionais e de segurança da organização aplicáveis à aplicação/plataforma SaaS.

As aplicações do SaaS representam muitos riscos para a segurança e garantem um bom rigor de governação e segurança. Sem examinar adequadamente as aplicações e plataformas do SaaS que a sua organização está a usar, poderá estar a expor a sua organização a riscos indevidos. Isto é ainda agravado se plataformas de low-code e no-code forem usadas para desenvolver aplicações que exporão dados sensíveis de organização ou clientes.

3. Sombra TI fora de controlo

Uma vez que as plataformas de low-code e no-code permitem que as aplicações sejam construídas rapidamente, mesmo por aqueles que não têm experiência de desenvolvimento, isso também pode levar a uma sombra desenfreada de TI. Shadow IT ocorre quando unidades de negócio e pessoal constroem aplicações e as expõem internamente na organização ou externamente ao mundo. Estas aplicações podem albergar dados organizacionais, clientes ou regulamentados sensíveis, o que pode ter uma série de implicações para a organização se essas aplicações forem comprometidas numa violação de dados.

4. Perturbação do negócio

Do ponto de vista da continuidade do negócio, a dependência de plataformas de low-code e no-code entregues como um serviço pode perturbar o negócio se essa plataforma sofrer uma falha. É importante que as organizações estabeleçam acordos de nível de serviço (SLA) para aplicações críticas ao negócio, incluindo plataformas de low-code e no-code.

Dicas para atenuar o risco de desenvolvimento com  low-code e no-code

As melhores práticas de segurança comuns podem atenuar os riscos acima descritos, independentemente da tecnologia envolvida, incluindo:

Compre software e plataformas de fornecedores de confiança com uma reputação respeitada na indústria.

Certifique-se de que estes fornecedores têm certificações atestadas por terceiros para representar as suas práticas e processos de segurança interna.

Considere as plataformas de low-code e no-code na sua aplicação e inventários de software, bem como aplicações criadas através da sua utilização.

Manter um bom controlo de acessos; saber quem está a aceder às plataformas e que atividades estão autorizadas a realizar.

Implemente práticas de dados seguras para entender onde residem os seus dados críticos e se as aplicações criadas utilizando plataformas de baixo de low-code e no-code hospedam dados sensíveis.

Saiba onde estão hospedadas plataformas de low-code e no-code. As plataformas estão hospedadas num fornecedor de serviços de cloud global de hiperescala (CSP), como AWS, Google ou Microsoft Azure? Ou estão hospedados num antigo centro de dados local com controlo de acesso limitado ou lógico?

Também é importante considerar a cultura de segurança da sua organização. Apesar de os utilizadores da plataforma não serem programadores ou profissionais de segurança de profissão, devem compreender as implicações de segurança das plataformas e aplicações de low-code e no-code que estão a utilizar e a construir. Com grande poder vem uma grande responsabilidade, e isso é aplicável aqui com plataformas de low-code e no-code.

Autores
Tags

Artigos relacionados

O seu comentário...

*

Top