隨著低代碼/無代碼開發(fā)平臺激增以及被企業(yè)廣泛使用,，產(chǎn)業(yè)界提出了一個明確而緊迫的需求,，即建立依賴此類平臺開發(fā)的應用程序相關的安全和隱私風險意識,?！禣WASP 低代碼十大安全風險清單》（以下簡稱“《清單》”）是為希望采用和開發(fā)低代碼（可視化少量代碼開發(fā)）,、無代碼（可視化無需編程開發(fā)）應用程序的企業(yè)提供幫助和指導,。

　　LCNC-SEC-01：身份冒充

　　無代碼/低代碼開發(fā)的應用程序可能內(nèi)嵌任何應用程序用戶隱式冒充的用戶身份,。這為權限提升創(chuàng)建了一條攻擊路徑,，允許攻擊者隱藏在另一個用戶的身份背后來繞過傳統(tǒng)的安全控制,。

　　LCNC-SEC-02：授權濫用

　　在大多數(shù)無代碼/低代碼的平臺中，服務連接都是頭等對象,。這意味著應用程序,、其他用戶或整個企業(yè)之間的連接。應用程序也可能被共享給無權訪問基礎數(shù)據(jù)的用戶,。

　　LCNC-SEC-03：數(shù)據(jù)泄漏和意外后果

　　無代碼/低代碼應用程序通常會跨多個系統(tǒng)同步數(shù)據(jù)或觸發(fā)操作,，這為數(shù)據(jù)跨越企業(yè)邊界創(chuàng)造了一條攻擊路徑。這就意味著,，在一個系統(tǒng)內(nèi)的操作可能對另一個系統(tǒng)中造成意想不到的后果,。

　　LCNC-SEC-04：身份驗證和安全通信失效

　　無代碼/低代碼應用程序通常通過業(yè)務用戶設置的連接來連接到關鍵業(yè)務數(shù)據(jù)，這往往會導致不安全的通信,。

　　LCNC-SEC-05：安全配置錯誤

　　配置錯誤往往會導致匿名訪問敏感數(shù)據(jù)或操作,，以及不受保護的公共端點、密鑰泄漏和過度共享,。

　　LCNC-SEC-06：注入處理失效

　　無代碼/低代碼應用程序以多種方式接收用戶提供的數(shù)據(jù),，包括直接輸入或從各種服務中檢索用戶提供的內(nèi)容。此類數(shù)據(jù)可能會包含給應用程序帶來風險的惡意有效載荷,。

　　LCNC-SEC-07：脆弱和不可信的組件

　　無代碼/低代碼應用程序嚴重依賴于市場或web上現(xiàn)有組件,，以及由開發(fā)人員構建的自定義連接器。這些組件通常是非托管的,，缺乏可見性,，并使應用程序面臨基于供應鏈的風險。

　　LCNC-SEC-08：數(shù)據(jù)和密鑰處理失效

　　無代碼/低代碼應用程序通常將數(shù)據(jù)或密鑰作為其“代碼”的一部分進行存儲,，或者存儲在平臺提供的托管數(shù)據(jù)庫中,，而這些數(shù)據(jù)必須按照法規(guī)和安全要求進行適當?shù)拇鎯Α?/p>

　　LCNC-SEC-09：資產(chǎn)管理失效

　　無代碼/低代碼應用程序易于創(chuàng)建開發(fā)，并且維護成本相對較低,，這個特點使這些應用程序在保持活動狀態(tài)的同時,，企業(yè)也很容易棄用這些應用程序,。此外，內(nèi)部應用程序可以在不解決業(yè)務連續(xù)性問題的情況下迅速普及,。

　　LCNC-SEC-10：安全日志記錄和監(jiān)控失效

　　無代碼/低代碼應用程序通常依賴于供應商來生成日志和監(jiān)視數(shù)據(jù),。在許多情況下，日志要么不足,，要么沒有收集,，從而阻礙了安全調(diào)查，并且無法滿足合規(guī)性要求,。

　　此外,，應用程序通常缺乏全面的審計跟蹤，從而阻礙了變更管理流程和查詢,，很難找出是誰引入了一項變更,。

更多信息可以來這里獲取==>>電子技術應用-AET<<