隨著低代碼/無(wú)代碼開(kāi)發(fā)平臺(tái)激增以及被企業(yè)廣泛使用，產(chǎn)業(yè)界提出了一個(gè)明確而緊迫的需求，即建立依賴(lài)此類(lèi)平臺(tái)開(kāi)發(fā)的應(yīng)用程序相關(guān)的安全和隱私風(fēng)險(xiǎn)意識(shí)。《OWASP 低代碼十大安全風(fēng)險(xiǎn)清單》（以下簡(jiǎn)稱(chēng)“《清單》”）是為希望采用和開(kāi)發(fā)低代碼（可視化少量代碼開(kāi)發(fā)）、無(wú)代碼（可視化無(wú)需編程開(kāi)發(fā)）應(yīng)用程序的企業(yè)提供幫助和指導(dǎo)。

　　LCNC-SEC-01：身份冒充

　　無(wú)代碼/低代碼開(kāi)發(fā)的應(yīng)用程序可能內(nèi)嵌任何應(yīng)用程序用戶(hù)隱式冒充的用戶(hù)身份。這為權(quán)限提升創(chuàng)建了一條攻擊路徑，允許攻擊者隱藏在另一個(gè)用戶(hù)的身份背后來(lái)繞過(guò)傳統(tǒng)的安全控制。

　　LCNC-SEC-02：授權(quán)濫用

　　在大多數(shù)無(wú)代碼/低代碼的平臺(tái)中，服務(wù)連接都是頭等對(duì)象。這意味著應(yīng)用程序、其他用戶(hù)或整個(gè)企業(yè)之間的連接。應(yīng)用程序也可能被共享給無(wú)權(quán)訪問(wèn)基礎(chǔ)數(shù)據(jù)的用戶(hù)。

　　LCNC-SEC-03：數(shù)據(jù)泄漏和意外后果

　　無(wú)代碼/低代碼應(yīng)用程序通常會(huì)跨多個(gè)系統(tǒng)同步數(shù)據(jù)或觸發(fā)操作，這為數(shù)據(jù)跨越企業(yè)邊界創(chuàng)造了一條攻擊路徑。這就意味著，在一個(gè)系統(tǒng)內(nèi)的操作可能對(duì)另一個(gè)系統(tǒng)中造成意想不到的后果。

　　LCNC-SEC-04：身份驗(yàn)證和安全通信失效

　　無(wú)代碼/低代碼應(yīng)用程序通常通過(guò)業(yè)務(wù)用戶(hù)設(shè)置的連接來(lái)連接到關(guān)鍵業(yè)務(wù)數(shù)據(jù)，這往往會(huì)導(dǎo)致不安全的通信。

　　LCNC-SEC-05：安全配置錯(cuò)誤

　　配置錯(cuò)誤往往會(huì)導(dǎo)致匿名訪問(wèn)敏感數(shù)據(jù)或操作，以及不受保護(hù)的公共端點(diǎn)、密鑰泄漏和過(guò)度共享。

　　LCNC-SEC-06：注入處理失效

　　無(wú)代碼/低代碼應(yīng)用程序以多種方式接收用戶(hù)提供的數(shù)據(jù)，包括直接輸入或從各種服務(wù)中檢索用戶(hù)提供的內(nèi)容。此類(lèi)數(shù)據(jù)可能會(huì)包含給應(yīng)用程序帶來(lái)風(fēng)險(xiǎn)的惡意有效載荷。

　　LCNC-SEC-07：脆弱和不可信的組件

　　無(wú)代碼/低代碼應(yīng)用程序嚴(yán)重依賴(lài)于市場(chǎng)或web上現(xiàn)有組件，以及由開(kāi)發(fā)人員構(gòu)建的自定義連接器。這些組件通常是非托管的，缺乏可見(jiàn)性，并使應(yīng)用程序面臨基于供應(yīng)鏈的風(fēng)險(xiǎn)。

　　LCNC-SEC-08：數(shù)據(jù)和密鑰處理失效

　　無(wú)代碼/低代碼應(yīng)用程序通常將數(shù)據(jù)或密鑰作為其“代碼”的一部分進(jìn)行存儲(chǔ)，或者存儲(chǔ)在平臺(tái)提供的托管數(shù)據(jù)庫(kù)中，而這些數(shù)據(jù)必須按照法規(guī)和安全要求進(jìn)行適當(dāng)?shù)拇鎯?chǔ)。

　　LCNC-SEC-09：資產(chǎn)管理失效

　　無(wú)代碼/低代碼應(yīng)用程序易于創(chuàng)建開(kāi)發(fā)，并且維護(hù)成本相對(duì)較低，這個(gè)特點(diǎn)使這些應(yīng)用程序在保持活動(dòng)狀態(tài)的同時(shí)，企業(yè)也很容易棄用這些應(yīng)用程序。此外，內(nèi)部應(yīng)用程序可以在不解決業(yè)務(wù)連續(xù)性問(wèn)題的情況下迅速普及。

　　LCNC-SEC-10：安全日志記錄和監(jiān)控失效

　　無(wú)代碼/低代碼應(yīng)用程序通常依賴(lài)于供應(yīng)商來(lái)生成日志和監(jiān)視數(shù)據(jù)。在許多情況下，日志要么不足，要么沒(méi)有收集，從而阻礙了安全調(diào)查，并且無(wú)法滿(mǎn)足合規(guī)性要求。

　　此外，應(yīng)用程序通常缺乏全面的審計(jì)跟蹤，從而阻礙了變更管理流程和查詢(xún)，很難找出是誰(shuí)引入了一項(xiàng)變更。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<