Безопасность no-code и low-code приложений: о чем молчат разработчики

Привет! На связи снова команда Nocodecircle. Честно говорим о разработке без кода. И сегодня разберем вопросы безопасности, о которых создатели конструкторов говорят редко. Есть, что скрывать? Посмотрим ;)

Безопасность no-code и low-code приложений: о чем молчат разработчики

Nocode и lowcode платформы становятся все популярнее. Ожидается, что в 2024 году на них перейдет более 65% всей разработки приложений. Аналитики прогнозируют, что средний размер рынка ноукод/лоукод вырастет примерно до 84,8 млрд долл. к 2027 году.

Платформы nocode и lowcode имеют ряд преимуществ, главными из которых считают экономию ресурсов, скорость разработки и возможность обходиться без профессиональных программистов. Но есть у конструкторов и явные недостатки. Один из важных минусов инструментов nocode/lowcode - проблемы с безопасностью, которые мы разберем здесь. Также мы дадим рекомендации по минимизации рисков.

Рис.<a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fcolorwhistle.com%2Flow-code-statistics%2F&postId=1415125" rel="nofollow noreferrer noopener" target="_blank">Прогнозируемый</a> рост рынка платформ nocode/lowcode  
Рис.Прогнозируемый рост рынка платформ nocode/lowcode  

Кто и для чего применяет nocode/lowcode инструменты?

Сегодня на рынке - не одна сотня платформ no-code/low-code. Есть среди них и лидеры с десятками и сотнями тысяч пользователей. К их числу можно отнести конструкторы веб (Mendix, Tilda, Bubble) и мобильных приложений (Adalo, Appy Pie, Flutterflow), инструменты для автоматизации рабочих процессов (Automate.io, Zapier, Integromat) и управления корпоративными задачами (Appian, OutSystems, Zoho Creator), а также для создания баз данных (Airtable, Coda).

Что делают при помощи конструкторов:

  • Предприниматели и стартапы: быстро создают минимально жизнеспособные продукты (MVP) и тестируют бизнес-идеи;
  • Малый и средний бизнес: внутренние инструменты и автоматизацию бизнес-процессов, не нанимая профессиональных разработчиков;
  • Бизнес-аналитики и маркетологи: приложения, помогающие анализировать данные и управлять маркетинговыми кампаниями;
  • Образовательные учреждения: учебные платформы и приложения;
  • ИТ-отделы: прототипы продуктов, ускоряют разработку, экономят ресурсы.

Основные риски безопасности no-code и low-code приложений

Использование no-code и low-code платформ позволяет пользователям без технических навыков разрабатывать функциональные приложения, что способствует ускорению инноваций и цифровой трансформации. Но вопросы безопасности остаются открытыми. И если не разобраться с ними сейчас, в будущем они могут спровоцировать волну атак на бизнес. Какие уязвимости вызывают наибольшие опасения?

Проблемы управления доступом и правами пользователей

В приложениях, которые создаются на базе no-code/low-code платформ, может не быть эффективных механизмов управления доступом. Как следствие, пользователи продукта получат права доступа администратора (разработчика) при обращении к различным системам и базам данных. Обладая такими привилегиями, они могут вносить изменения в БД, копировать их и передавать третьим лицам. Все это открывает возможности для реализации атак. Так, недобросовестный сотрудник может получить доступ к базе данных клиентов и передать ее конкурентам за вознаграждение.

Управление правами доступа для интеграции Bubble и Adalo (источник - <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fforum.bubble.io%2Ft%2Fconnecting-bubble-and-adalo%2F77556&postId=1415125" rel="nofollow noreferrer noopener" target="_blank">форум</a> Bubble)
Управление правами доступа для интеграции Bubble и Adalo (источник - форум Bubble)

Как нивелировать риски?

  • создавать отдельные учетные записи для разработчиков продуктов на базе nocode/lowcode
  • ограничивать в доступе пользователей таких инструментов и обязательно запрашивать авторизацию при соединении с корпоративными базами данных и системами

Утечки или модификация данных

Сотрудники, пользующиеся внутренним инструментом, созданном на конструкторе, могут получать больше данных, чем планировал разработчик. Если решение собирает специалист без навыков в программировании, такое возможно. А неверные настройки могут приводить к ошибкам в обработке информации, а также к случайным и намеренным утечкам или повреждению данных.

Разграничение ролей для доступа с возможностью уведомлений руководителю на <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.zoho.com%2Fcreator%2Fnewhelp%2Fapp-settings%2Fadd-new-role.html&postId=1415125" rel="nofollow noreferrer noopener" target="_blank">платформе</a> Zoho Creator 
Разграничение ролей для доступа с возможностью уведомлений руководителю на платформе Zoho Creator 

Как нивелировать риски?

  • разграничивать доступ к данным
  • минимизировать разрешения на запись и удаление
  • осуществлять мониторинг передачи данных приложением

Уязвимости, связанные с работой коннекторов

В теории, некорректно написанный коннектор может спровоцировать несанкционированный доступ к данным и их утечку. Однако на практике такие случаи встречаются редко. Почему? Среды, которые соединяет коннектор, изолированы. И даже если уязвимость есть и ей воспользуются, возможно лишь передавать данные из одной внутренней системы в другую. Конечно, может идти речь о превышении прав доступа, но об этом уже говорилось выше.

Кроме того, правильное функционирование коннектора гарантирует либо поставщик платформы, либо крупная организация, которая создает цифровой продукт и прописывает API для него. В обоих случаях разработчики придерживаются лучших практик информационной безопасности.

Как нивелировать риски?

  • пользоваться решениями nocode/lowcode от проверенных поставщиков
  • при самостоятельном написании коннекторов следовать правилам безопасной разработки

Невозможность контроля безопасности лоукод-платформы со стороны заказчика

Если заказчик создает самостоятельный цифровой продукт на базе drug-and-drope конструктора, не дописывая ничего самостоятельно, то его безопасность обеспечивается поставщиком. Поэтому стоит выбирать проверенные инструменты, зарекомендовавшие себя на рынке.

Если речь идет о внутреннем решении для крупной организации, будут действовать правила и стандарты обеспечения ИБ, которых придерживается заказчик. Проблем быть не должно.

Как нивелировать риски?

  • применять инструменты nocode/lowcode от проверенных поставщиков
  • следовать правилам безопасной разработки и стандартам, принятым в организации

Рекомендации для обеспечения безопасности no-code и low-code приложений

В целом, безопасность nocode/lowcode приложений находится сегодня на зрелом уровне. Кроме того, крупные корпоративные системы заказчиков позволяют вести непрерывный мониторинг событий и состояния цифровых продуктов и реагировать в случае возникновения угрозы.

Поэтому стоит проявлять беспокойство только в тех случаях, когда заказчик самостоятельно улучшает функционал готового решения, привлекая неквалифицированных специалистов.

5 этапов жизненного цикла разработки безопасного ПО
5 этапов жизненного цикла разработки безопасного ПО

Как свести к минимуму риски ИБ при использовании продуктов на базе конструкторов:

  • Проводить регулярные обновления ПО, используемого в компании
  • Внедрить и применять многофакторную аутентификацию (MFA)
  • Использовать криптографические протоколы SSL/TLS для защиты данных при передаче
  • Регулярно проводить аудиты безопасности и тестирование на проникновение ключевых систем и кода
  • Осуществлять управление правами доступа и ролями пользователей

Применять лучшие практики и стандарты безопасности, включая ГОСТ («Разработка безопасного программного обеспечения»), SSDLC (Secure Software Development Life Cycle), методику BSIMM 2021 (Building Security In Maturity Model) и т.д.

Больше интересного про ноукод - на нашем сайте и на канале Телеграм. Приходите :)

77
22
7 комментариев

Первый вопрос, который задают мои клиенты из Европы, касается безопасности Low-code инструментов. Почти всегда спрашивают про хранение данных, GDPR compliance, где расположены сервера и тд)

2

Для моих клиентов из РФ тоже это первый вопрос

1

Мы на одном проекте так отказались от неплохого инструмента nocode - потому, что были непонятки с доступом админа к корпоративным ресурсам

1

Да, у наших партнеров тоже нередко так проекты отваливаются

Вопросы безопасности в no-code и low-code приложениях важны, особенно с учетом того, насколько быстро эти платформы входят в оборот)

1

Да, полностью разделяем, этому нужно уделять внимание