Di Jonathan Reed
Le soluzioni low-code e no-code sono fantastiche. Perché? Con poca o nessuna esperienza di programmazione, è possibile creare rapidamente un software utilizzando una dashboard grafica. Questo equivale a un enorme risparmio di tempo e denaro. Ma con tutti questi software là fuori, gli esperti di sicurezza si preoccupano dei rischi. Le entrate del mercato globale delle piattaforme low-code sono state valutate a quasi 13 miliardi di dollari nel 2020. Si prevede che il mercato raggiungerà oltre 47 miliardi di dollari nel 2025 e 65 miliardi di dollari nel 2027 con un CAGR del 26,1%. Pochi, se non nessuno, mercati possono aspettarsi di vedere una crescita così robusta.
Cos'è il software low/no code? Cosa sta guidando la crescita esplosiva di questo settore? E quali sono i rischi per la sicurezza?
Cos'è lo sviluppo low/no code?
Le piattaforme low-code permettono, a coloro che hanno limitate capacità di programmazione, di diventare citizen developer. Le persone possono utilizzare interfacce grafiche intuitive per creare applicazioni più velocemente rispetto ai metodi di programmazione tradizionali.. Questo significa che il personale non tecnico può contribuire.
Ad un recente VentureBeat Low-Code/No-Code Summit, marchi di tutte le dimensioni hanno condiviso come usano il low-code per migliorare e accelerare i processi aziendali. Per esempio, le soluzioni no-code possono snellire la creazione di applicazioni, consentire l'analisi dei dati in tempo reale e automatizzare i carichi di lavoro manuali e dispendiosi in termini di tempo.
Il boom di popolarità delle piattaforme low-code
Non ci vuole un master coder per capire le ragioni per cui molte aziende scelgono di adottare lo sviluppo low-code. Un sondaggio ha mostrato che il 41% delle organizzazioni sta usando una piattaforma low-code o no-code. All'interno di queste aziende, il 69% dice che il personale IT professionale usa strumenti low-code. Questo significa che quasi un terzo degli utenti low-code sono membri del team non IT impegnati a creare software. Durante il 2020-2021, i leader IT hanno ridotto i tempi di sviluppo. Questa maggiore domanda di software personalizzato ha portato all'emergere di citizen developer non IT. Di conseguenza, il mercato low-code si è espanso rapidamente e continuerà a crescere a passi da gigante. Gartner stima che entro il 2024, gli strumenti low-code saranno dietro più del 65% dello sviluppo delle applicazioni.
Starbucks ha adottato il Low-Code
Non sono solo le imprese bootstrap ad avere bisogno di soluzioni low-code. Al contrario, molti dei più grandi marchi sono passati a soluzioni meno tecniche per soddisfare le loro esigenze. Jonathan Francis, chief digital and analytics officer di Starbucks, dice di aver visto guadagni di efficienza dagli strumenti low-code quando la domanda di soluzioni per lavorare da remoto ha portato l'IT al limite. Le piattaforme low-code e no-code hanno permesso a Starbucks di smaltire un arretrato di attività di sviluppo che normalmente avrebbe richiesto molto più tempo per finire.
"Abbiamo bisogno di opportunità per scalare rapidamente ... Non ci saranno mai abbastanza scienziati di dati", ha detto Francis. "Siamo tutti in competizione per le stesse risorse - abbiamo budget limitati. Quindi è il caso di cominciare a pensare a soluzioni locali".
Chi fa la guardia al cancello?
Mentre tutto questo sviluppo di app a ruota libera può essere ottimo per l'innovazione e la produttività, il responsabile della sicurezza sta pensando: "Se ogni tizio o caio possono realizzare e distribuire app in tutta l'azienda, come farò a proteggere tutto questo?" Bella domanda. La buona notizia è che la sicurezza è integrata in molte piattaforme low-code. Lo sviluppo tradizionale delle applicazioni non sempre tiene conto della sicurezza. Oppure, qualcuno la mette in atto dopo. Ma con le piattaforme low-code sicure, la governance e il controllo sono incorporati prima che la gente inizi ad armeggiare. Questo significa che l'IT mantiene e imposta il controllo centralizzato su accesso, automazione e asset di dati.
Impostare le regole del low-code
Non importa quanto sia valido lo strumento low-code, c'è ancora la possibilità che i dipendenti siano tentati di creare applicazioni che vadano oltre il radar della sicurezza integrata. Per questo motivo, le autorizzazioni integrate vanno molto lontano nel mantenere una buona governance. Tutto inizia con una formazione adeguata per chiunque si diletterà in progetti low-code o no-code. Devono capire che solo le piattaforme low-code approvate possono essere utilizzate. Inoltre, educate e avvertite il personale della necessità di fare dei test. A fine della giornata, chi ha accesso a cosa, dovrebbe essere fermamente stabilito.
Ora, diamo un'occhiata ad alcuni altri modi specifici per gestire i rischi di sicurezza low-code.
Giocare nella sandbox
Se mettete tutte le vostre risorse di sviluppo approvate in una sandbox, allora i citizen developer possono giocare bene ed evitare l'esposizione al rischio. Da lì, stabilire e gestire chiaramente l'accesso e la condivisione dei dati. Molte piattaforme low-code forniscono questo tipo di controllo al livello dei dati virtuali. Alcune piattaforme low-code sono anche dotate di conformità normativa incorporata.
Gestione dell'ambiente di runtime
L'ambiente di runtime è dove un certo programma o applicazione viene eseguito. È l'hardware e il software che supporta l'esecuzione di un certo codice in tempo reale.È possibile configurarlo per rivelare l'esposizione dei dati e i controlli di sicurezza mal applicati. Queste misure possono aiutare a evitare il fallimento della logica di business, come la pubblicazione di dati sensibili in un luogo pubblico
Altri modi per rinforzare gli ambienti low-code
Altri modi per rafforzare gli ambienti low-code includono:
- Analisi statica del codice: Eseguire l'analisi statica su qualsiasi codice generato dalla piattaforma low-code e testare gli errori comuni.
- Controllare le librerie proprietarie e i partner: Chiedere ai venditori circa i loro standard di sicurezza ed esaminare le librerie proprietarie per i potenziali rischi. Il fornitore ha un modo per verificare la loro sicurezza?
- Proteggere il livello API: Testate regolarmente le connessioni API con uno scanner API.
- Non fidarti di nessuno, proteggi tutto
Messi nelle mani di personale non IT, gli strumenti low-code sono usati per creare ancora più applicazioni. Questo supporta ulteriormente la nozione di un'architettura senza perimetro. Siamo nel mezzo di un boom di applicazioni, API, dispositivi, utenti e ambienti. Questo rende la sicurezza della rete più impegnativa che mai.
Il low-code è solo una parte di un enigma di sicurezza più grande e complesso. Come risposta, molte organizzazioni stanno adottando un approccio di fiducia zero.
Un modello di sicurezza a fiducia zero assicura che i dati e le risorse siano chiusi per default. L'accesso è concesso sulla base del minimo privilegio. La fiducia zero richiede che ogni singola connessione sia verificata secondo le vostre politiche. Gli strumenti di fiducia zero quindi autenticano e autorizzano ogni dispositivo, flusso di rete e connessione utilizzando l'analisi contestuale assistita dall'intelligenza artificiale da quante più fonti di dati possibili.
Il low-code può rimodellare rapidamente la capacità tecnica di qualsiasi organizzazione: democratizza lo sviluppo, accelera l'innovazione e aumenta la produttività. Ma per sfruttare appieno i vantaggi del low-code, deve essere sicuro.