Ingen-kode-utvikling kan være fremtiden innen programmering

Er ingen-kode-verktøy sikre? Et innblikk i sikkerhetsproblemer

Det ser ut til å bli et travelt år for lavkodeutvikling og utvikling uten kode. Både brukere og profesjonelle utviklere kan dra nytte av disse løsningene som blir stadig mer populære. Fremvoksende, serverløse løsninger øker raskt muligheten til å planlegge, utvikle og vedlikeholde bedriftssystemer. Utviklingsbransjen uten kode vokser, og flere verktøy blir stadig lansert. Appcues kunngjorde nylig en finansiering på 32 millioner dollar for ingen-kode-verktøyene i introduksjonsprogrammet sitt.

Noen tror kanskje at disse plattformene ikke er trygge, fordi de ikke ser hva som ligger bak det brukervennlige grensesnittet. Men, dette stemmer absolutt ikke. Rammeverket for de fleste ingen-kode-plattformer som Bubble.io, Webflow eller Adalo bør kunne besvare disse spørsmålene. Utviklerne følger bransjepraksisen når det kommer til datasikkerhet, ved å skissere hva slags sikkerhetsstandarder disse plattformene bruker og hva ikke-tekniske brukere bør se etter.

Er det noen sikkerhetsrisiko ved bruk av ingen kode?

Det er naturlig at mange er bekymret for sikkerheten rundt lavkode- og ingen-kode-plattformer. Ikke alle disse gir muligheten til å eksportere kode, og gir dermed ikke teknisk kunnskap ved bruk av tradisjonelle metoder, som statisk sikkerhetstesting. Det er dermed usikkerhet hvordan sensitive data blir håndtert. Utvikling uten kode er selvsagt ikke en feilfri utviklingsmetode, og kommer med en viss sikkerhetsrisiko.

En av de største risikoene ved utvikling uten kode er modulene og API-ene som disse verktøyene benytter. Men, skadelige API-er gjelder ikke kun for utviklingsplattformer uten kode eller med lavkode. De kan også true tradisjonelt utviklet programvare.

Vær oppmerksom ved bruk av API-er som ikke er del av verktøyet du kobler dem til. Siden moduler og API-er ikke nødvendigvis gjennomgår like omfattende testing som ingen-kode- og lavkodeplattformer, kan de ha en iboende sikkerhetsrisiko.

Før integrering av eksterne API-er i appen din uten kode, bør du integrere et par sikkerhetstiltak i utviklingsprosessen din: se etter sikkerhetsproblemer med penetreringstester eller skannerverktøy, bruk en OAuth-basert API-tokenbørs med funksjonell oppdateringsmekanisme. Når API-en er integrert, skjuler du den ved å sette opp en proxy med ekstra autentisering. Denne sikkerhetspraksisen bør ivareta eventuelle problemer API-en kan forårsake.

Sikkerhetsstandarder i populære plattformer

Alle populære ingen-kode-utviklere følger bransjestandarden innen sikkerhet og samsvarssertifikater. Det er ingen grunn til å bekymre seg for koden, rammeverket eller arbeidsflyten i verktøyene du bruker. Datasikkerheten er alltid hovedprioriteten for ingen-kode-baserte utviklingsplattformer. Nedenfor ser vi nærmere på sikkerheten hos noen av markedets mest populære verktøy.

Bubble.io

Bubble.io bruker Amazon Web Services som vert for plattformen sin. Dette er en av de mest populære skybaserte vertsløsningene på markedet. De tilbyr rimelig sikkerhetstilsyn, med sertifiseringer som ISO 27001, SOC 2, CSA og mer.

Når det gjelder selve plattformen, viser den en imponerende grad av sikkerhetsbevissthet. Den har integrert automatisk kodetesting, sikkerhetskontroller, automatisk aktivitetslogg av appen din (inkludert bakgrunnsaktivitet) og datagjenoppretting. Bubble.io tilbyr til og med en sanntidstest av datakrypteringsstyrken. Robust, innebygget sikkerhet, fleksibilitet, kraft og massevis av moduler er grunnen til at Bubble No-Code er førstevalget for mange i bransjen.

Adalo

Adalo er et ganske sikkert apputviklingsverktøy, selv om det er det minst gjennomsiktige av de tre i listen vår når det gjelder sikkerhetstiltak. Per januar 2020 var plattformen kun delvis GDPR-kompatibel, uten servere i EU og uten bruk av rammeverket EU-US Privacy Shield. På andre punkter, som databehandling, overføring, retten til å bli glemt, lagring og overføring av kryptert data, var de GDPR-kompatible.

Når det gjelder generell sikkerhet, bruker appen «bransjeledende» datakryptering, både når den lagres og overføres, med ekstra sikkerhetstiltak for sensitive kundedata som kredittkortopplysninger og passord. Da rapporten ble skrevet, hadde imidlertid ikke plattformen støtte for totrinnsautentisering eller Face-ID.

Webflow

Webflow er generelt en veldig sikker plattform, som det fremgår av åpenheten de viser. Plattformen drives for eksempel i samsvar med SOC2- og GDPR-forskrifter, og dataene ligger også på AWS. I tillegg utfører plattformen tredjepartstester og tilbyr totrinnsautentisering, engangsinnlogging og SSL-kryptering. Ingen-kode-utviklingsverktøyet tilbyr dessuten tips for hvordan brukerne kan gjøre den Webflow-baserte nettsiden sin sikrere.

Utvikle en ingen-kode-app

Den eneste delen der ingen-kode-utvikling ikke kan sørge for sikkerheten, er i appene som publikum utvikler – uten kjennskap til standard sikkerhetspraksis, kan disse brukerne uvitende lage sikkerhetshull i sine egne apper.

Det er to måter å løse dette på. Den første er å bruke mye tid på å lære seg prinsippene i programvaresikkerhet gjennom YouTube-videoer, webinarer og nettsider som tilbyr opplæring innen ingen-kode-verktøy. Den andre er å ansette et byrå med profesjonelle utviklere til å lage appen.

Ingen-kode-verktøy som Bubble.io, Webflow og Adalo er sikre å bruke, og benytter den beste bransjepraksisen når det kommer til datasikkerhet. Det er viktig for ingen-kode-utviklere ikke bare å lære seg alt om verktøyutvikling, men også det grunnleggende innen programvaresikkerhet. På denne måten kan de utvikle en trygg app som sikrer brukernes personopplysninger og beskytter dem mot nettangrep.

Om forfatteren
Ugnius Kiguolis
Ugnius Kiguolis - Eksperten

Ugnius Kiguolis er en profesjonell malware-analytiker, som også er grunnlegger og eier av viruset.no.

Kontakt Ugnius Kiguolis
Om selskapet Esolutions

På andre språk