Sicherheit ist ein sehr wichtiger Aspekt in der Entwicklung von Enterprise Software. Darum müssen auch Low-Code-basierte Anwendungen entsprechend getestet und überprüft werden. Simplifier bietet seinen Bestandskunden nun diese Maßnahmen an.
Lesezeit: Ca. 2 Minuten
Sicherheit spielt bei der Erstellung von Business-Anwendungen eine wichtige Rolle: Bevor eine Anwendung live gehen kann, muss eine wichtige Maßnahme durchgeführt werden: Sicherheits-Tests und Überprüfungen von Anwendungen sind im Bereich der Entwicklung von Enterprise-Software unerlässlich. Das gilt auch für Anwendungen, die mit Low-Code entwickelt wurden.
Wenn wir uns das Endergebnis der meisten Business-Anwendungen ansehen, reden wir im Allgemeinen von Webtechnologien, vor allem aber von Web-Applikationen, die auf Sicherheitsaspekte hin überprüft werden müssen.
Penetrationstests von Web-Anwendungen auf der Basis von OWASP
Da wir uns in diesem Blogbeitrag mit Low-Code-Anwendungen befassen, die mit Simplifier erstellt wurden, sprechen wir über HTML5-Anwendungen, die auf OpenUI5/SAPUI5 basieren, und über RESTful Backend-Dienste, die geprüft werden müssen. Hier kommt OWASP ins Spiel. Was ist eigentlich OWASP?
Die OWASP Top 10 und ihre Auswirkungen auf Low-Code
Ein Blick auf die OWASP Top 10 Liste ist ein guter Ausgangspunkt für das Testen von Anwendungen, die mit Low-Code erstellt wurden. Ein Blick auf die ersten 3 Punkte der Top-Ten-Liste zeigt Folgendes:
Da viele Unternehmensanwendungen Dateneingabe und Formulare beinhalten, müssen mögliche Schwachstellen bei der Verwendung bestimmter Parameter geprüft werden. Außerdem spielt die Authentifizierung innerhalb von Unternehmensanwendungen eine große Rolle, so dass Prüfungen auf fehlerhafte Authentifizierung und Session-Highjacking in Betracht gezogen werden müssen. Ein weiterer kritischer Punkt ist die Offenlegung sensibler Daten, die ebenfalls eine zentrale Rolle bei der Entwicklung von Unternehmensanwendungen spielt.
Betrachtet man den Rest der aufgeführten Punkte, so wird deutlich, dass Sicherheitsaudits nach Möglichkeit geplant, strukturiert und standardisiert werden müssen, um den Aufwand pro entwickelter Anwendung zu minimieren. Um dieses Problem für Simplifier-Kunden zu lösen, haben wir ein neues Enabling-Angebot, das ihnen hilft, die Sicherheit ihrer Anwendungen zu prüfen.
Spezial-Angebot
Bestandskunden, die ein Simplifier Enabling-Paket besitzen, können jetzt unser neues Sicherheitsaudit für Simplifier-Anwendungen buchen. Unsere Experten werden alle bestehenden Low-Code-Anwendungen auf sicherheitsrelevante Kriterien gemäß OWASP Top 10 prüfen – speziell angepasst auf Anwendungen, die mit Simplifier erstellt wurden, einschließlich eines Berichts sowie einem Ergebniszertifikat in Form eines Whitebox-Tests.
Das bedeutet, dass wir auch die Low-Code-Konfiguration, das Rollen- und Rechtemanagement und natürlich die Top-10-Sicherheitsaspekte prüfen werden.
Das Sicherheitsaudit basiert auf einer Low-Code-spezifischen Sicherheitscheckliste.
Sicherheits-Checkliste
Unter anderem überprüfen wir:
- ob sicherheitsrelevante Daten lokal im Browser gespeichert sind
- ob Daten manipuliert werden können
- ob Daten verschlüsselt sind oder nicht
- ob Simplifier-Authentifizierungen ausreichend restriktiv sind
Zudem überprüfen wir erstellte Anwendungen anhand der Simplifier-Sicherheitsrichtlinien.
Außerdem geben wir Ratschläge, wie Sicherheitslücken geschlossen werden können.