低代码开发会带来安全问题和数据泄露隐患吗?

2021 年 11 月 30 日 InfoQ

作者 | The Hosk
译者 | 王强
策划 | 刘燕
低代码开发会带来安全问题和数据泄露隐患吗?低代码开发的缺陷在于缺乏经验的开发者并不掌握安全性的相关知识。要重视软件安全性问题,不要等它变成灾难后再亡羊补牢。

低代码开发方法有可能比传统开发方法更快、更便宜地创建软件。但很少人会提到,用低代码方法开发出来的软件所包含的安全风险是和传统上基于代码开发的软件一样多的。

安全性被构建进了低代码开发工具中,但这种安全性必须由开发人员理解和配置才能发挥作用。非专业开发人员可能很难意识到安全隐患的存在,或者不具备配置软件安全性的经验。

能击倒你的往往是你看不到的风险。非专业开发人员的注意力都集中在了软件创建上,并不会小心谨慎地应用那些最佳安全实践。

如果低代码开发流程没有同 IT 部门紧密结合,没有充分应用最佳实践,那么前者的开发指引就不会是由经验丰富的开发人员来定义。这就会引入安全漏洞和数据泄露的风险。

这不是非专业开发人员独有的问题,而是普遍存在的开发问题。区别在于有经验的开发人员(并非总是)会检查安全性是否到位,而没有经验的初级 / 非专业开发人员甚至不会意识到安全性是他们的责任和应该做的事情。

1微软 Power App Portal 暴露了 3800 万条记录

微软的低代码开发工具 Power Apps 之前登上了头条新闻,因为一款配置错误的 Power App 将 3800 万条记录暴露在了互联网上。

重点摘要:

“包括微软在内的 47 家政府实体和隐私公司错误配置了微软的 Power Apps,将 3800 万条敏感数据记录暴露在了互联网上。Power Apps 是一种低代码服务,承诺以一种简单的方式构建专业应用程序。”
是什么导致了这个问题?  

UpGuard 公司的一名分析师发现 Power Apps portal 的 OData API 可以允许匿名访问数据库记录。

Power Apps portal 是面向互联网的门户。该门户由微软托管,并与微软 Dataverse 集成。

简单来说,通过某种特定配置,面向互联网的 Power Apps Portal 可以允许存储在多个数据源(SharePoint、Microsoft 365、Dynamics 365、SQLServer 等)中的数据通过匿名(也就是非用户)的 OData 查询来访问。

如果你不希望数据可见,你需要检查一个布尔字段——启用表权限(Enable Table Permissions)布尔值为真才行。

对于这种烦人的配置值,大多数人都会采用默认值,也就是与世界分享数据。

分析师看到许多公司都在使用 Power Apps portal,但许多公司没有设置过这一字段。结果是,他们可能会在面向公共 / 互联网的门户上提供大量个人和其他数据,任由别人查询。

真是糟糕啊。

设计如此  

这不是什么错误或安全漏洞,而是一项按设计意图运作的配置。

UpGuard 的报告清楚地表明了这一点——设计理念:微软 Power Apps 的默认权限如何暴露数百万人的数据。https://www.upguard.com/breaches/power-apps)

如果你想知道如何解决这个问题(我敢肯定有很多开发人员和非专业开发人员都会冒冷汗),请阅读这一说明:提示 #1407:如何保护 Power Apps portalhttps://thehosk.medium.com/Tip%20#1407:%20How%20to%20secure%20Power%20Apps%20portal%20from%20making%20the%20news)

2低代码警告

低代码开发方法允许非专业开发人员或任何开发人员使用一系列组件来创建软件,并使用更容易理解的查询对软件进行配置。

像微软的 Power Platform 这样的低代码开发工具,其重点都放在了应用程序创建上——但开发人员所要做的工作并不只有创建软件而已。

低代码开发人员(非专业开发人员)同样是开发人员,他们也需要完成开发流程中的其他一些任务。

  • 收集需求(提炼、理解)

  • 维护软件

  • 为软件编写文档

  • 部署

  • 安全性(数据安全、个人数据、安全角色等)

  • 数据源(数据库、文件、保留、备份等)

  • 与其他系统集成

  • 更广泛的环境和其他软件

营销活动不仅仅是发送电子邮件,开发工作也不仅仅是创建代码或构建应用程序。

非专业开发人员和开发人员并非安全专家,所以 IT 部门需要参与进来,并对软件运行渗透测试。IT 部门需要确保开发人员应用了最佳实践,并找出软件中存在的设计缺陷或软件错误来保证安全性。

非专业开发人员欠缺很多专业知识,这就是为什么他们应该在专业人员指导下创建应用程序并将其部署到生产环境中。

如果公司组建自己的低代码开发团队时没有让经验丰富的开发人员或 IT 部门参与,由后者来创建相关标准和最佳实践,就会出现问题。

传统开发方法同样会出现很多安全性缺陷,但它着重强调了安全性这个领域,而非专业开发人员需要学习很多知识才能理解其中的要害。低代码开发工具也都很复杂,所以人们只能精通一两种低代码工具。

公司将需要单独的团队来监督和维护低代码工具,因为没有人能一接触到它们就理解其中的细节。

这不是低代码问题,而是开发问题。低代码开发工具不会取代开发人员,它们会创造新的开发人员群体,催生一支创建和维护生产级应用程序的缺乏经验的开发团队。

3低代码革命需要资深开发人员领导

由缺乏经验的开发人员创建大量应用程序有可能导致很多安全漏洞,这就是为什么不可逆转的低代码革命必须由经验丰富的开发人员和 IT 部门全力领导。

低代码开发是一种强大的工具。与其他工具一样,它们需要被当作长期战略的一部分,人们还要为软件创建后发生的各种事情制定计划。

低代码开发不会取代开发人员,它会造就更多缺乏经验的开发人员。非专业开发人员需要高级开发人员的指导和领导,因为与所有初级开发人员一样,他们也会犯错误。

软件是如何创建的并不重要;重要的是它需要安全、维护和支持。低代码软件需要的是与传统软件相同的清单、团队和流程。

原文链接:

https://thehosk.medium.com/will-low-code-development-lead-to-security-problems-and-data-breaches-83a9375d4087

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

软件工程师年满 40 岁,下一步怎么走?

曝腾讯天美员工税后收入250万,月均20万;传阿里CEO张勇要放权;“人人影视字幕组”侵权案宣判,被告人获刑三年半 | Q资讯

逃离被微软支配的恐惧,.NET开发者们Fork了一个开源分支

为什么 Netflix “永不宕机”?



 活动推荐

11 月 30 日,晚上 7 点,锁定 InfoQ 视频号直播间。InfoQ 联合极客时间、Microsoft、StreamNative、即构、声网,一起宠粉,火力全开!

直播间众多福利上线,1500 份【100 元极客时间充值卡】1 元秒杀!

更有五折好课,四折年卡,半价年卡,随机免单等各种福利。狂欢五小时,福利多多,优惠多多!点击下方「预约」按钮,即可锁定直播。

点个在看少个 bug 👇

登录查看更多
0

相关内容

北约《军事系统的网络安全风险评估》技术报告
专知会员服务
99+阅读 · 2022年4月18日
【AI+军事】附PPT 《北约数据开发计划》
专知会员服务
113+阅读 · 2022年4月17日
区块链数据安全服务综述
专知会员服务
54+阅读 · 2021年11月10日
【实用书】Python数据分析手册,437页pdf带你实战数据清洗
深度学习赋能的恶意代码攻防研究进展
专知会员服务
29+阅读 · 2021年4月11日
人工智能模型数据泄露的攻击与防御研究综述
专知会员服务
71+阅读 · 2021年3月31日
【干货书】Python 编程,480页pdf
专知会员服务
237+阅读 · 2020年8月14日
【2020新书】高级Python编程,620页pdf
专知会员服务
235+阅读 · 2020年7月31日
Transformer文本分类代码
专知会员服务
116+阅读 · 2020年2月3日
解决事件驱动型微服务中的并发问题
InfoQ
0+阅读 · 2022年4月10日
复制粘贴代码,很可能会带来灾难性的后果
AI前线
0+阅读 · 2022年3月26日
当云原生遇上低代码,云端开发so easy!
SQL 被当成代码?谷歌的理由绝了!
CSDN
0+阅读 · 2022年2月23日
我用Transformer修复代码bug
夕小瑶的卖萌屋
1+阅读 · 2021年9月9日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2010年12月31日
Arxiv
1+阅读 · 2022年4月20日
Chinese Idiom Paraphrasing
Arxiv
0+阅读 · 2022年4月15日
Arxiv
20+阅读 · 2019年11月23日
VIP会员
相关VIP内容
北约《军事系统的网络安全风险评估》技术报告
专知会员服务
99+阅读 · 2022年4月18日
【AI+军事】附PPT 《北约数据开发计划》
专知会员服务
113+阅读 · 2022年4月17日
区块链数据安全服务综述
专知会员服务
54+阅读 · 2021年11月10日
【实用书】Python数据分析手册,437页pdf带你实战数据清洗
深度学习赋能的恶意代码攻防研究进展
专知会员服务
29+阅读 · 2021年4月11日
人工智能模型数据泄露的攻击与防御研究综述
专知会员服务
71+阅读 · 2021年3月31日
【干货书】Python 编程,480页pdf
专知会员服务
237+阅读 · 2020年8月14日
【2020新书】高级Python编程,620页pdf
专知会员服务
235+阅读 · 2020年7月31日
Transformer文本分类代码
专知会员服务
116+阅读 · 2020年2月3日
相关资讯
相关基金
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2010年12月31日
Top
微信扫码咨询专知VIP会员