如何緩解低代碼開發(fā)的安全風(fēng)險(xiǎn)

如何緩解低代碼開發(fā)的安全風(fēng)險(xiǎn)

作者：BILL DOERRFELD 來源：DevOps.Com

Gartner預(yù)測(cè)，到2025年底，超過65％的開發(fā)項(xiàng)目將使用低代碼構(gòu)建，低代碼領(lǐng)域不斷擴(kuò)大。但是低代碼帶來了哪些安全隱患？

低代碼是指使用可視化編程模型來構(gòu)建應(yīng)用程序的工具。無代碼和低代碼平臺(tái)采用拖放組件代替?zhèn)鹘y(tǒng)代碼，使非技術(shù)人員無需IT部門的幫助即可構(gòu)建自己的工作流程。

但是，在安全培訓(xùn)較少的情況下將權(quán)力交給公民開發(fā)人員可能會(huì)帶來風(fēng)險(xiǎn)。此外低代碼平臺(tái)可能擁有受損的專有庫(kù)，或者利用了可能會(huì)在不知不覺中將敏感數(shù)據(jù)暴露給外界的API。如果管理不當(dāng)，低代碼也有可能增加影子IT。

低代碼打開了更多生產(chǎn)者的大門。但是，它也打開后門了嗎？

我最近與Veracode的首席技術(shù)官兼聯(lián)合創(chuàng)始人Chris Wysopal會(huì)面，討論了低代碼應(yīng)用程序帶來的日益增長(zhǎng)的安全風(fēng)險(xiǎn)。

Chris認(rèn)為，強(qiáng)化低代碼環(huán)境涉及隔離，動(dòng)態(tài)和運(yùn)行時(shí)技術(shù)的結(jié)合，并全面采用“盡可能少的特權(quán)”規(guī)則。下面，我們將擴(kuò)展?jié)撛诘牡痛a風(fēng)險(xiǎn)，并查看Wysopal建議組織采用哪些其他方法來保護(hù)新興的低代碼范式。

01 低代碼安全問題

Verizon的2020年數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）發(fā)現(xiàn)，所有違規(guī)事件中有43％與應(yīng)用程序?qū)拥穆┒从嘘P(guān)。保護(hù)這些應(yīng)用程序，或者在低代碼的情況下，保護(hù)它們的生成層，對(duì)于業(yè)務(wù)平穩(wěn)運(yùn)行至關(guān)重要。

當(dāng)涉及低代碼時(shí)，Wysopal會(huì)注意到一些關(guān)鍵區(qū)域的風(fēng)險(xiǎn)：

■ 具有隱藏漏洞的專有庫(kù)。從本質(zhì)上講，低代碼平臺(tái)通常使用大量專有軟件，這使它們的保護(hù)有些不透明。這些系統(tǒng)可能涉及專有語言，專有庫(kù)和專有框架。

有些平臺(tái)會(huì)生成傳統(tǒng)代碼，組織可以將其導(dǎo)出以在Node.JS或Java服務(wù)器上運(yùn)行。Wysopal說，這通常涉及代碼和專有庫(kù)的混合。雖然可以對(duì)生成的代碼運(yùn)行傳統(tǒng)的靜態(tài)分析，但是可能會(huì)丟失一些上下文。

■ 缺乏安全培訓(xùn)。公民開發(fā)人員幾乎沒有技術(shù)知識(shí)，更不用說DevSecOps培訓(xùn)了。如果運(yùn)行時(shí)應(yīng)用程序存在漏洞，期望無代碼用戶解決這些漏洞是不現(xiàn)實(shí)的。

■ API集成。如果低代碼平臺(tái)公開了API或通過API生成了Web應(yīng)用程序，則該平臺(tái)可能公開了敏感數(shù)據(jù)。

02 強(qiáng)化低代碼環(huán)境的方法

為了應(yīng)對(duì)這些領(lǐng)域，Wysopal提供了一些有關(guān)保護(hù)低代碼環(huán)境的建議：

執(zhí)行靜態(tài)代碼分析：對(duì)任何生成的代碼執(zhí)行自己的靜態(tài)分析，并測(cè)試常見錯(cuò)誤。Wysopal建議：“查看代碼，了解它與外部的交互位置?！睂徲?jì)專有庫(kù)：Wysopal表示，只要有可能，他建議不要讓供應(yīng)商對(duì)他們的應(yīng)用程序安全標(biāo)準(zhǔn)提出質(zhì)疑，并檢查專有庫(kù)的潛在風(fēng)險(xiǎn)。驗(yàn)證合作伙伴：同樣，在與低代碼工具的第三方合作伙伴合作時(shí)，請(qǐng)采取預(yù)防措施。合作伙伴工具應(yīng)經(jīng)過仔細(xì)審查，并取得低代碼平臺(tái)的某種應(yīng)用程序安全認(rèn)證。保護(hù)API層：了解應(yīng)用程序與之交互的API。這些連接應(yīng)使用API掃描程序動(dòng)態(tài)自動(dòng)進(jìn)行測(cè)試。隔離：Wysopal還建議使用傳統(tǒng)的隔離技術(shù)。不僅僅考慮應(yīng)用程序?qū)?；Wysopal建議隔離該應(yīng)用程序并在虛擬機(jī)或容器中運(yùn)行它。針對(duì)公民開發(fā)人員的安全培訓(xùn)：由于公民開發(fā)人員通常不接受有關(guān)appsec慣例的培訓(xùn)，因此請(qǐng)進(jìn)行安全演習(xí)以對(duì)他們進(jìn)行基礎(chǔ)培訓(xùn)。一個(gè)有用的演示可能涉及直接攻擊應(yīng)用程序以發(fā)現(xiàn)缺陷。應(yīng)用盡可能少的特權(quán)規(guī)則：分配用戶功能時(shí)，請(qǐng)盡可能使用默認(rèn)安全設(shè)置，并僅允許需要此功能的用戶訪問。

如果您正在使用專有的低代碼系統(tǒng)，可能無法立即對(duì)發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)，而是必須向供應(yīng)商發(fā)送請(qǐng)求，等待供應(yīng)商對(duì)漏洞進(jìn)行修補(bǔ)。Wysopal表示，“值得慶幸的是，大多數(shù)技術(shù)提供商對(duì)錯(cuò)誤的響應(yīng)要比對(duì)功能請(qǐng)求的響應(yīng)更為及時(shí)”。

03 改變對(duì)安全性的態(tài)度

Wysopal說，在低代碼范圍內(nèi)，人們的態(tài)度是“人們并沒有真正在執(zhí)行關(guān)鍵任務(wù)應(yīng)用程序，他們主要是在進(jìn)行原型設(shè)計(jì)或后臺(tái)辦公自動(dòng)化”。

或者，由于低代碼應(yīng)用程序通常不會(huì)公開某個(gè)應(yīng)用程序，因此它們被認(rèn)為是低風(fēng)險(xiǎn)的，它們的安全等級(jí)和優(yōu)先級(jí)最低。安全團(tuán)隊(duì)會(huì)說：“我們沒有辦法保護(hù)所有應(yīng)用程序的安全。”

但是，這些態(tài)度有點(diǎn)短視，因?yàn)椤皯?yīng)用程序不是孤島”，Wysopal說。即使應(yīng)用程序僅供內(nèi)部使用，網(wǎng)絡(luò)釣魚嘗試也可能暴露憑據(jù)并獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限。在這里，攻擊者可以利用敏感資源或竊取基礎(chǔ)設(shè)施來獲得計(jì)算能力。

因此，所有低碼用戶應(yīng)認(rèn)識(shí)到潛在威脅，并有應(yīng)對(duì)風(fēng)險(xiǎn)的意識(shí)。低代碼供應(yīng)商也有責(zé)任充分武裝他們的系統(tǒng)。要不斷修補(bǔ)問題，披露漏洞信息，如有必要可以發(fā)布賞金計(jì)劃或者接受白帽安全研究人員檢測(cè)。

04 無代碼≠無錯(cuò)誤

低代碼繼續(xù)滲透到越來越多的數(shù)字操作中，為公民開發(fā)人員打開了新的潛力。雖然低代碼帶來了可觀的回報(bào)，但它也帶來了潛在的風(fēng)險(xiǎn)。

Wysopal說，為減輕這些擔(dān)憂，我們必須提高對(duì)安全的認(rèn)識(shí)，改進(jìn)我們的方法”?！叭魏螒?yīng)用程序中都可能存在缺陷和安全漏洞?！?僅僅因?yàn)槟鷽]有用C語言編寫函數(shù)，而是依靠可視化編程模型，并不意味著沒有漏洞。

重視安全的低代碼平臺(tái)才能獲得長(zhǎng)足發(fā)展。否則，帶有安全隱患無疑是一枚定時(shí)炸彈，終將傷人傷己。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。