Cybersecurity-無程式碼/低程式碼的便捷應用也帶來資安隱患

TAcc+新創分析師 毛國光

Gartner預測，到2025年底，超過65％的開發項目將使用「無程式碼/低程式碼工具 (no-code/low-code tools)」，隨著無程式碼/低程式碼應用領域不斷擴大，也帶來了一些資安隱患，台灣新創可留意相關檢測、抓漏商機。

• 無程式碼/低程式碼工具平台採用拖放式組件而不是傳統程式碼，從而使非技術人員無需IT部門的幫助即可構建自己的工作流程。但在資安培訓較少的情況下將權力交給公民開發人員可能會帶來風險 —

低程式碼平台可能擁有受損的專有庫，或使用了可能會在不知不覺中將敏感數據暴露給外界的API。如果管理不善，低程式碼也有可能增加影子IT。Veracode的首席技術官兼聯合創始人Chris Wysopal認為強化低程式碼環境涉及隔離、動態和運行時技術的結合，全面採用「盡可能少的特權」規則。

使用者的態度是「他們並沒有真正在執行關鍵任務應用程式-主要是在進行原型設計或後台辦公自動化」。或者，由於低程式碼應用程式通常不公開公開應用程式，因此它們被認為是低風險的，即使應用程式僅供內部使用，網絡釣魚嘗試也可能暴露憑據並獲得對網絡的訪問權限。在這裡，攻擊者可以利用敏感資源或竊取基礎設施來獲得計算能力。

• 強化低程式碼環境的方法需要進行測試、分析與人員資安培訓，也為台灣新創帶來相關商機 — 

Wysopal提供了一些有關保護低程式碼環境的建議：

1.執行靜態程式碼分析：對任何生成的程式碼執行自己的靜態分析，並測試常見錯誤。看看程式碼，了解它與外界的相互作用。

2.審核專有庫：儘可能不讓供應商對他們的應用程式安全標準提出質疑，並檢查專有庫的潛在風險。

3.驗證合作夥伴：在與低程式碼工具的第三方夥伴合作時，請採取預防措施，仔細審查合作夥伴工具，並獲得低程式碼平台的某種應用程式安全認證。

4.保護API層：了解應用程式與之交互的API。這些連接應使用API掃描程序動態自動進行測試，考慮這些API安全測試最佳實踐。

5.隔離：建議使用傳統的隔離技術。不僅僅考慮應用程式層；隔離該應用程式並在虛擬機或容器中運行它。

6.針對公民開發人員的資安培訓：由於公民開發人員通常不接受有關appsec慣例的培訓，因此請進行安全演習以對他們進行基礎知識的培訓。一個有用的演示可能涉及直接攻擊應用程式以發現缺陷。

7.應用儘可能的最小特權規則：在分配用戶功能時，儘可能使用默認安全設置，並僅允許需要此功能的用戶訪問。

參考資料：

• “How to Mitigate Low-Code Security Risks” DevOps, 2021.
• “Why Low Code Shouldn’t Mean High Risk for Businesses” CPO Magazine, 2021.