隨著低代碼/無代碼開發(fā)平臺激增以及被企業(yè)廣泛使用，產(chǎn)業(yè)界提出了一個明確而緊迫的需求，即建立依賴此類平臺開發(fā)的應用程序相關(guān)的安全和隱私風險意識。《OWASP 低代碼十大安全風險清單》（以下簡稱“《清單》”）是為希望采用和開發(fā)低代碼（可視化少量代碼開發(fā)）、無代碼（可視化無需編程開發(fā)）應用程序的企業(yè)提供幫助和指導。

　　LCNC-SEC-01：身份冒充

　　無代碼/低代碼開發(fā)的應用程序可能內(nèi)嵌任何應用程序用戶隱式冒充的用戶身份。這為權(quán)限提升創(chuàng)建了一條攻擊路徑，允許攻擊者隱藏在另一個用戶的身份背后來繞過傳統(tǒng)的安全控制。

　　LCNC-SEC-02：授權(quán)濫用

　　在大多數(shù)無代碼/低代碼的平臺中，服務連接都是頭等對象。這意味著應用程序、其他用戶或整個企業(yè)之間的連接。應用程序也可能被共享給無權(quán)訪問基礎(chǔ)數(shù)據(jù)的用戶。

　　LCNC-SEC-03：數(shù)據(jù)泄漏和意外后果

　　無代碼/低代碼應用程序通常會跨多個系統(tǒng)同步數(shù)據(jù)或觸發(fā)操作，這為數(shù)據(jù)跨越企業(yè)邊界創(chuàng)造了一條攻擊路徑。這就意味著，在一個系統(tǒng)內(nèi)的操作可能對另一個系統(tǒng)中造成意想不到的后果。

　　LCNC-SEC-04：身份驗證和安全通信失效

　　無代碼/低代碼應用程序通常通過業(yè)務用戶設(shè)置的連接來連接到關(guān)鍵業(yè)務數(shù)據(jù)，這往往會導致不安全的通信。

　　LCNC-SEC-05：安全配置錯誤

　　配置錯誤往往會導致匿名訪問敏感數(shù)據(jù)或操作，以及不受保護的公共端點、密鑰泄漏和過度共享。

　　LCNC-SEC-06：注入處理失效

　　無代碼/低代碼應用程序以多種方式接收用戶提供的數(shù)據(jù)，包括直接輸入或從各種服務中檢索用戶提供的內(nèi)容。此類數(shù)據(jù)可能會包含給應用程序帶來風險的惡意有效載荷。

　　LCNC-SEC-07：脆弱和不可信的組件

　　無代碼/低代碼應用程序嚴重依賴于市場或web上現(xiàn)有組件，以及由開發(fā)人員構(gòu)建的自定義連接器。這些組件通常是非托管的，缺乏可見性，并使應用程序面臨基于供應鏈的風險。

　　LCNC-SEC-08：數(shù)據(jù)和密鑰處理失效

　　無代碼/低代碼應用程序通常將數(shù)據(jù)或密鑰作為其“代碼”的一部分進行存儲，或者存儲在平臺提供的托管數(shù)據(jù)庫中，而這些數(shù)據(jù)必須按照法規(guī)和安全要求進行適當?shù)拇鎯Α?/p>

　　LCNC-SEC-09：資產(chǎn)管理失效

　　無代碼/低代碼應用程序易于創(chuàng)建開發(fā)，并且維護成本相對較低，這個特點使這些應用程序在保持活動狀態(tài)的同時，企業(yè)也很容易棄用這些應用程序。此外，內(nèi)部應用程序可以在不解決業(yè)務連續(xù)性問題的情況下迅速普及。

　　LCNC-SEC-10：安全日志記錄和監(jiān)控失效

　　無代碼/低代碼應用程序通常依賴于供應商來生成日志和監(jiān)視數(shù)據(jù)。在許多情況下，日志要么不足，要么沒有收集，從而阻礙了安全調(diào)查，并且無法滿足合規(guī)性要求。

　　此外，應用程序通常缺乏全面的審計跟蹤，從而阻礙了變更管理流程和查詢，很難找出是誰引入了一項變更。

更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<