如何缓解低代码安全风险

Gartner预测,到2025年底,[超过65%的开发项目]将使用低代码构建器。低码领域不断扩大。但是低代码带来了哪些安全隐患?

[低代码]是指使用可视化编程模型来构建应用程序的工具。[无代码和低代码平台]采用拖放组件而不是传统代码,[从而]使非技术人员无需IT部门的帮助即可构建自己的工作流程。但是,在安全培训较少的情况下将权力交给公民开发人员可能会带来风险。另外,低代码平台可能拥有受损的专有库,或者利用了可能会在不知不觉中将敏感数据暴露给外界的API。如果管理不当,低代码也有可能[增加影子IT]。

低代码打开了更多生产者的大门。但是,它也打开后门吗?我最近与Veracode的首席技术官兼联合创始人Chris Wysopal会面,讨论了低代码应用程序带来的日益增长的安全风险。克里斯认为,强化低代码环境涉及隔离,动态和运行时技术的结合,并全面采用“尽可能少的特权”规则。下面,我们将扩展潜在的低代码风险,并查看Wysopal建议组织采用哪些其他方法来保护新兴的低代码范式。

低代码安全问题

Verizon的2020年数据泄露调查报告(DBIR)发现,所有违规事件中有43%[与应用程序层]的[漏洞有关]。因此,保护这些应用程序,或者在低代码的情况下,保护它们的生成层,对于业务平稳运行至关重要。

当涉及低代码时,Wysopal会注意到一些关键的风险区域:

具有隐患的专有库。从本质上讲,低代码平台通常使用大量专有软件,从而使它们的保护有些不透明。这些系统可能涉及专有语言,专有库和专有框架。如果您信任低代码平台,那么您会对低代码供应商抱有很大的信心,以建立一个强大的安全流程。

某些平台会生成传统代码,组织可以将其导出以在Node.JS或Java服务器上运行。Wysopal说,然而,这通常涉及代码和专有库的混合。尽管您可以对生成的代码运行传统的静态分析,但是可能会错过一些上下文。

缺乏公民开发商安全培训。[公民开发]人员几乎没有技术知识,更不用说[DevSecOps培训了]。如果运行时应用程序存在漏洞,则期望无代码用户缓解这些漏洞是不现实的。

API集成。如果低代码平台公开了API或通过API生成了Web应用程序,则该平台可能公开了敏感数据。

强化低代码环境的方法

为了应对这些领域,Wysopal提供了一些有关保护低代码环境的建议:

  • 执行静态代码分析:对任何生成的代码执行自己的静态分析,并测试常见错误。Wysopal建议:“看看代码,了解它与外界的相互作用。”
  • 审计专有库:Wysopal表示,只要有可能,他建议不要让供应商对他们的应用程序安全标准提出质疑,并检查专有库的潜在风险。
  • 验证合作伙伴:同样,在与低代码工具的第三方合作伙伴合作时,请采取预防措施。合作伙伴工具应经过仔细审查,并获得低代码平台的某种应用程序安全认证。
  • 保护API层:了解应用程序与之交互的API。这些连接应使用API扫描程序动态自动进行测试。在您的旅途中,请考虑[这些API安全测试最佳实践]。
  • 隔离:Wysopal还建议使用传统的隔离技术。不仅仅考虑应用程序层;Wysopal建议隔离该应用程序并在虚拟机或容器中运行它。
  • 针对公民开发人员的安全培训:由于公民开发人员通常不接受有关appsec惯例的培训,因此请进行安全演习以对他们进行基础培训。一个有用的演示可能涉及直接攻击应用程序以发现缺陷。
  • 应用可能的最小特权规则:分配用户功能时,请尽可能使用默认安全设置,并仅允许需要此功能的用户访问。

通过应用动态和运行时技术,您可能会发现漏洞,例如跨站点脚本错误。但是,如果您正在使用专有的低代码系统,则可能无法立即对其进行修复!您可能必须向供应商发送请求,然后等待对该错误进行修补。Wysopal指出,值得庆幸的是,大多数技术提供商对错误的响应要比对功能请求的响应更为及时。

更改对安全性的态度

Wysopal说,在[低代码范围内],人们的态度是“人们并没有真正在执行关键任务应用程序-他们主要是在进行原型设计或后台办公自动化”。或者,由于低代码应用程序通常不公开公开应用程序,因此它们被认为是低风险的,并落在安全团队的收件箱和待办事项清单的底部。他说:“我们仍处于人们无法保护所有应用程序安全的世界。”

但是,这些态度有点短视,因为“应用程序不是孤岛”,Wysopal说。即使应用程序仅供内部使用,网络钓鱼尝试也可能会暴露凭据并获得对网络的访问权限。在这里,攻击者可以利用敏感资源或窃取基础设施来获得计算能力。

因此,所有低码用户应意识到潜在的威胁,并改变习惯以相应地应对这些风险。但是,低代码供应商也有责任充分武装他们的系统。要不断修补问题,必须有一个漏洞披露信息,一项赏金计划以及一种接受白帽安全研究人员的错误报告的简便方法。

无代码≠无错误

低代码继续渗透到越来越多的数字操作中,[为公民开发人员]打开了[新的潜力]。虽然[低代码运动]的承诺可观的回报,也带来了潜在的风险。

Wysopal说,为减轻这些担忧,我们必须加深对安全的了解并发展我们的方法。“任何应用程序中都可能存在缺陷和安全漏洞。” 仅仅因为您没有用C语言编写函数,而是依靠可视化编程模型并不意味着您就没有引入缺陷。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 195,719评论 5 462
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,337评论 2 373
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 142,887评论 0 324
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,488评论 1 266
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,313评论 4 357
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,284评论 1 273
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,672评论 3 386
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,346评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,644评论 1 293
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,700评论 2 312
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,457评论 1 326
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,316评论 3 313
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,706评论 3 299
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 28,990评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,261评论 1 251
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,648评论 2 342
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,859评论 2 335

推荐阅读更多精彩内容