En el desarrollo de aplicaciones, ¿Sin código significa que no hay seguridad?


Las plataformas de desarrollo sin código y de código bajo son parte del desarrollo de aplicaciones, pero hay claves para asegurarse de que no dejen atrás la seguridad con la codificación tradicional.

(imagen de gaihong, a través de Adobe Stock)

(imagen de gaihong, a través de Adobe Stock)

La nueva tendencia en el desarrollo de aplicaciones empresariales: crear nuevas aplicaciones sin escribir código. Las plataformas de desarrollo de «código bajo» o «sin código» ofrecen la promesa de un desarrollo rápido de aplicaciones, a menudo por expertos en unidades de negocios o temas, sin la sobrecarga del desarrollo tradicional por parte de los desarrolladores tradicionales.

La pregunta es si sin código también significa que no hay seguridad.

Desde sistemas de administración de contenido como WordPress hasta creadores de aplicaciones empresariales como Appian, las plataformas sin código / de bajo código están destinadas a permitir a los desarrolladores centrarse en la lógica de la aplicación, mientras que los detalles del dispositivo, la pink de entrega y las interfaces de usuario se dejan en la plataforma. «Los modelos de desarrollo de código bajo y sin código son potentes y democratizan el desarrollo para que los usuarios no técnicos creen fácilmente flujos de trabajo potentes», dice Vinay Namidi, director senior de gestión de proyectos en Virsec. «Pero siempre hay un problema: si bien los desarrolladores capacitados pueden tener diferentes niveles de habilidad en seguridad, los desarrolladores sin código generalmente son ajenos a las mejores prácticas o riesgos de seguridad».

¿Importa el entrenamiento?

Si bien los desarrolladores de unidades de negocio pueden no tener la experiencia en seguridad de los desarrolladores de software package empresarial capacitados, la suposición operativa es que las propias plataformas incorporan seguridad en el producto last. «La responsabilidad recae en el marco de los desarrolladores (de la plataforma), por lo que (los usuarios de la plataforma) no tienen que entender la codificación segura», explica Jason Kent, hacker que reside en Cequent. «Pero eso supone que el marco está escrito de forma segura».

Esa suposición puede ser buena, Si El marco se está utilizando de la forma prevista.

Ali Golshan, CTO y cofundador de StackRox, considera que las empresas más pequeñas con private de desarrollo limitado y líneas de negocios que crean aplicaciones que no son críticas para la empresa son buenos casos de uso, porque, «… hay un gran avance (en seguridad) porque existe un denominador común en cuanto a las mejores prácticas de seguridad e implementaciones que los proveedores de marcos incorporan en su propio SDLC (ciclo de vida de desarrollo de software program) «.

El denominador común en seguridad puede incluir algunas de las funciones básicas que deberían formar parte del desarrollo seguro de aplicaciones, pero que a menudo se pasan por alto. «(El desarrollo sin código) también tiene la ventaja de aumentar la barrera de seguridad ya que la mayoría de las vulnerabilidades de nivel inferior, derivadas de la falta de validación de entrada y verificaciones de integridad del código, son atendidas por la plataforma», dice Mounir Hahad, jefe de Juniper Menace Labs en Juniper Networks.

Pero esas cosas no le quitan la responsabilidad de la seguridad al equipo de desarrollo de aplicaciones.

Mejores prácticas sin código

«De ninguna manera esto resuelve el problema typical de asegurar una aplicación», dice Hahad, y continúa, «por ejemplo, todavía es necesario realizar parches para subsistemas vulnerables y código de terceros».

Las mismas características que hacen que el desarrollo sin código sea tan productivo para algunas organizaciones puede traer desafíos cuando se trata de seguridad. «Con las plataformas sin código, las empresas pierden rápidamente la visibilidad sobre los procesos críticos y el uso de datos, y los usuarios pueden construir fácilmente una lógica de negocios que expone información wise o regulada», dice Namedi. Él dice que las organizaciones que utilizan el desarrollo sin código deben hacer planes específicos para la seguridad (y el cumplimiento normativo) desde el comienzo del proceso.

«Las empresas deben encontrar formas de auditar procesos y proveedores, y mantener una supervisión de seguridad razonable, incluso si eso hace que el proceso sea un poco menos conveniente», dice Namedi.

Como parte del proceso de auditoría y seguridad, Golshan señala que saber lo que realmente está sucediendo dentro de la aplicación es importante.

«Desea implementar su aplicación sobre un entorno nativo en la nube donde existe alguna noción de registro profundo», dice, y explica que el rastreo y la creación de soporte para entornos de microservicios es fundamental.

Las asociaciones son importantes

Para evitar que «sin código» se convierta en sinónimo de «TI en la sombra», es importante una asociación profunda entre el equipo que crea las aplicaciones y el equipo de seguridad de la organización. «Hay mucha resistencia en el lado de la seguridad y el lado del desarrollador para dar ese primer paso, pero es crítico. Es crítico para las organizaciones alentar eso», dice Matt Keil, director de advertising de productos en Cequence.

Keil dice que la introducción del desarrollo sin código puede ser el impulso para comenzar la conversación crítica entre la seguridad y los desarrolladores. «Creo que el enfoque correcto es entablar una conversación con el grupo empresarial. No actúes como &#39Medical professional No&#39, eso continuará fomentando la división entre la seguridad y el equipo de desarrollo», continúa.

Entre las áreas que Golshan considera que deberían considerarse se encuentran aquellas que controlan quién (y qué) tiene acceso a la aplicación. «Creo que una de las áreas en las que el código bajo / Sin código tiene el potencial de mejorar realmente es cómo maneja la administración, autenticación y autorización de acceso», dice.

Y para todas las áreas que deben considerarse, los expertos señalan los documentos producidos por NIST como marcos útiles para que las organizaciones se apoyen. Si bien algunos consideran que los documentos NIST son útiles principalmente para las organizaciones gubernamentales, los principios pueden ser valiosos para cualquier organización, especialmente para aquellos que buscan desarrollar una nueva metodología.

Sin embargo, en última instancia, la mejor oportunidad de éxito puede ser tener a alguien que se asegure de que la organización no olvide la seguridad. «Las organizaciones más exitosas que veo tienen un arquitecto de seguridad de aplicaciones, alguien con un pie en seguridad y un pie en desarrollo», dice Kent. «Pueden identificar y definir más fácilmente los tipos de controles que necesita para que los entornos de código bajo o sin código sean seguros y sigan siendo colaborativos».

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dim Looking at. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y movie para Darkish Looking at y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más concepts





Enlace a la noticia authentic