Vatandaş geliştiriciler tarafından geliştirilen uygulamalar artıyor. Düşük kod ve kodsuz (LCNC) platformları geliştirme ekosistemini yeniden şekillendiriyor. Bu araçlar ufukları genişletiyor ve vatandaş geliştiricilerin güçlü uygulamalar oluşturmalarını sağlıyor.
LCNC geliştirme, geliştiricilerin görsel bir arayüze eklenebilecek mevcut sistem tasarım öğelerini kullandıkları uygulamalar geliştirmenin bir yoludur.
Bu platformlar, süreçleri otomatikleştirebilen hızlı geliştirmeye odaklanarak, uygulamalarını yenilikçi bir şekilde oluşturmak için en az teknik bilgiye sahip kullanıcıları güçlendirir.
Bununla birlikte, LCNC platformlarını kullanırken güvenlik genellikle uygulama geliştirmenin ön saflarında değildir, çünkü işletme kullanıcıları genellikle güvenli geliştirme yöntemleri hakkında güçlü bir anlayışa sahip değildir.
LCNC platformlarını güvence altına almak için stratejiler
LCNC platformunun ihlali, finansal kayıplara, kuruluşun itibarına zarar vermeye ve uyum düzenlemelerinin ihlaline neden olabilir. Aşağıda, LCNC platformlarının güvenliğinin korunmasının bazı yolları vardır.
- LCNC Satıcı Değerlendirmesi: Bir LCNC platformu temin etmeden önce, kuruluşun güvenlik ekibi satıcının güvenlik politikalarını, veri yedekleme ve kurtarma politikalarını ve platformu güvenlik açıklarına karşı güvence altına alma kontrollerini gözden geçirmelidir. Kuruluşlar, güvenlik ekipleri tarafından incelenen onaylanmış LCNC araçlarının bir envanterine sahip olmalı ve çalışanların kuruluşu uygunluk ve güvenlik risklerine maruz bırakabilecek onaylanmamış LCNC araçlarını kurmasını ve kullanmasını önlemelidir.
- Vatandaş Geliştirici Eğitimi: Uygulamalar oluşturmadan önce, vatandaş geliştiricileri LCNC aracını ve güvenlik en iyi uygulamalarını iyice tanımalıdır.
- Kimlik Yönetimi: Kuruluşlar, kullanıcıların ağda oturum açmak için tek bir şifre kullanması, ancak LCNC uygulamasına her giriş yaptıklarında kimliklerini onaylayarak güvenlik sağlayarak tek bir şifre kullanmaları için Multifaktör Kimlik Doğrulaması (MFA) ile tek oturum açma (SSO) uygulayabilir.
- Erişim Yönetimi: Tüm ortamlarda rol temelli erişimi, genel güvenliği arttırmak için en az ayrıcalık prensibi ile birlikte uygulamak. Sistem yöneticileri, kuruluşun güvenlik eğitimini alan ve şüpheli davranışları izlemek için kullanıcı hesaplarını izleyen birkaç vatandaş geliştiricisine yönetici ayrıcalıkları atamalıdır.
- Statik ve Dinamik Uygulama Güvenlik Testini Uygulamak: Teknik geliştiriciler, vatandaş tarafından geliştirilen uygulamalarda yeni güvenlik açıklarının getirilmemesini sağlamak için statik ve dinamik uygulama taraması yapabilirler.
- Olay Yanıt Planı: Sağlam bir olay müdahale planı oluşturun ve tehditlere veya güvenlik olaylarına hazırlanmak için plana dahil olan masa üstü egzersizlerini, simülasyon saldırılarını ve testleri yürütün.
- En son güncellemeleri ve güvenlik yamalarını basın: Teknik geliştiricilerin LCNC araçlarını en son satıcı yamalarıyla güncellemeleri gerekir, çünkü bunlar kod kusurları için düzeltmeler sağlar.
Yazar hakkında
Aparna Achanta, IBM Federal Consulting’de başlıca güvenlik mimarıdır. Aparna, ABD federal ajansları için kritik görev projelerini denetledi. IBM’deyken, federal ajanslarda sıfır güven çerçevesini başarıyla uyguladı. Aparna, Gaziler İşleri Bakanlığı gibi Federal Ajanslardaki SaaS uygulamaları için Mükemmellik Merkezine öncülük etti ve bu da bu ajansların güvenlik duruşunu artırdı. Bu Mükemmellik Merkezi, çok sayıda vatandaş geliştirici profesyonelini, Power BI ve Microsoft Co-Pilot gibi düşük kodlu, kodsuz platformlar kullanarak uygulamalar geliştirmek için gerekli araçlar ve güvenlik ve yönetişim çerçeveleri ile donatır ve GENAI uygulamalarının sorumlu ve güvenli uygulamasını sağlamak için yönergeler oluşturur. Aparna ayrıca D365 ve güç platformu uygulamaları için bir Mimarlık İnceleme Kurulu kurdu, güvenlik gereksinimlerini tanımladı ve uygulama mimarisi geliştirme ekipleri için en iyi uygulamaları şekillendirdi. 10 yılı aşkın tecrübesi ile Aparna, süreçleri büyük ölçüde düzenleyen büyük federal müşteriler için güvenli dijital dönüşüm projeleri tasarladı. Aparna, siber güvenlik endüstrisine geri dönmeye kararlı motive bir insandır. Aktif bir akıl hocası, yazar, akran yorumcu ve konuşmacıdır.
Aparna’ya çevrimiçi olarak https://aparnaachanta.com/ veya linkedin https://www.linkedin.com/in/aparna-achanta-41741739/ adresinden ulaşılabilir.