隨著低代碼/無代碼開發平臺激增以及被企業廣泛使用，產業界提出了一個明確而緊迫的需求，即建立依賴此類平臺開發的應用程序相關的安全和隱私風險意識。《OWASP 低代碼十大安全風險清單》（以下簡稱“《清單》”）是為希望采用和開發低代碼（可視化少量代碼開發）、無代碼（可視化無需編程開發）應用程序的企業提供幫助和指導。

　　LCNC-SEC-01：身份冒充

　　無代碼/低代碼開發的應用程序可能內嵌任何應用程序用戶隱式冒充的用戶身份。這為權限提升創建了一條攻擊路徑，允許攻擊者隱藏在另一個用戶的身份背后來繞過傳統的安全控制。

　　LCNC-SEC-02：授權濫用

　　在大多數無代碼/低代碼的平臺中，服務連接都是頭等對象。這意味著應用程序、其他用戶或整個企業之間的連接。應用程序也可能被共享給無權訪問基礎數據的用戶。

　　LCNC-SEC-03：數據泄漏和意外后果

　　無代碼/低代碼應用程序通常會跨多個系統同步數據或觸發操作，這為數據跨越企業邊界創造了一條攻擊路徑。這就意味著，在一個系統內的操作可能對另一個系統中造成意想不到的后果。

　　LCNC-SEC-04：身份驗證和安全通信失效

　　無代碼/低代碼應用程序通常通過業務用戶設置的連接來連接到關鍵業務數據，這往往會導致不安全的通信。

　　LCNC-SEC-05：安全配置錯誤

　　配置錯誤往往會導致匿名訪問敏感數據或操作，以及不受保護的公共端點、密鑰泄漏和過度共享。

　　LCNC-SEC-06：注入處理失效

　　無代碼/低代碼應用程序以多種方式接收用戶提供的數據，包括直接輸入或從各種服務中檢索用戶提供的內容。此類數據可能會包含給應用程序帶來風險的惡意有效載荷。

　　LCNC-SEC-07：脆弱和不可信的組件

　　無代碼/低代碼應用程序嚴重依賴于市場或web上現有組件，以及由開發人員構建的自定義連接器。這些組件通常是非托管的，缺乏可見性，并使應用程序面臨基于供應鏈的風險。

　　LCNC-SEC-08：數據和密鑰處理失效

　　無代碼/低代碼應用程序通常將數據或密鑰作為其“代碼”的一部分進行存儲，或者存儲在平臺提供的托管數據庫中，而這些數據必須按照法規和安全要求進行適當的存儲。

　　LCNC-SEC-09：資產管理失效

　　無代碼/低代碼應用程序易于創建開發，并且維護成本相對較低，這個特點使這些應用程序在保持活動狀態的同時，企業也很容易棄用這些應用程序。此外，內部應用程序可以在不解決業務連續性問題的情況下迅速普及。

　　LCNC-SEC-10：安全日志記錄和監控失效

　　無代碼/低代碼應用程序通常依賴于供應商來生成日志和監視數據。在許多情況下，日志要么不足，要么沒有收集，從而阻礙了安全調查，并且無法滿足合規性要求。

　　此外，應用程序通常缺乏全面的審計跟蹤，從而阻礙了變更管理流程和查詢，很難找出是誰引入了一項變更。

更多信息可以來這里獲取==>>電子技術應用-AET<<