Low-code en no-code platforms zijn bij bedrijven zeer populair. Toch hebben deze platforms serieuze securityrisico’s waarvan gebruikers zich bewust moeten zijn, schrijft columnist en securityspecialist Mark Nunnikhoven op techsite SD Times.

Nunnikhoven werkt voor Lacework, een DevOps-, cloud- en Kubernetes-dienstverlener. Volgens Nunnikhoven zijn er een aantal securityrisico’s aan het gebruik van low-code en no-code platforms gebonden.

De belangrijkste risico’s draaien om de verschillende onderdelen waaruit deze platforms bestaan. Deze onderdelen zijn vaak terug te vinden in andere SaaS-oplossingen en -toepassingen, maar onderscheiden zich doordat zij volledig met de cloud zijn verbonden.

Vanuit de cloud halen de componenten via API’s data op die de low-code en no-code applicaties functioneel houdt. Hiervoor worden de onderdelen van applicaties vaak verbonden met andere systemen. Denk aan Salesforce voor marketingapplicaties en e-maildiensten voor e-mailapplicaties.

Risico’s

Omdat de onderdelen maken met andere diensten voor het ophalen van data, waaronder diensten van derde partijen, kunnen de applicaties kwetsbaar zijn voor malware. Zeker als die ook vanuit de keten kan worden verspreid.

De talloze verbindingen van low-code en no-code applicaties leiden er volgens Nunnikhoven toe dat het overzicht wordt vervaagd. Ontwikkelaars hebben daardoor minder snel in de gaten of zich ergens in de keten problemen voordoen die van invloed kunnen zijn op de veiligheid van deze applicaties. Onder meer wordt het op deze manier minder duidelijk wie toegang heeft tot alle data en of deze toegang wordt gelogd.

Risk assessment

In zijn column roept de cloudspecialist dan ook op om meer aandacht aan de security van low-code en no-code platforms te geven. Dit proces begint met een risk assessment om te bepalen of het om een ‘verbonden’ platform gaat. Wanneer dit het geval is, moeten organisaties de wachtwoorden en inloggegevens verifiëren die worden gebruikt voor verbindingen met derde partijen. Idealiter zijn dit service accounts en geen gewone gebruikers.

Vervolgens moeten zij verbindingen onderzoeken en logging mogelijk maken. Dit moet het overzicht van alle activiteit op deze platforms bewaken en uitbreiden. Deze zichtbaarheid is de enige kans om datalekken en andere problemen te beantwoorden, aldus Nunnikhoven. Vervolgens is het zaak aandacht te schenken aan geavanceerdere securityproblemen, zo besluit de columnist.

Tip: Rode Kruis komt met gratis opleiding tot low-code developer