Low-Code security for industrial applications

Abstract

Low-Code Development Platforms (LCDPs) are gaining more and more traction, even in the industrial context, as a means for making software development faster, cheaper and easier. With its visual features, such as user-friendly graphical interfaces and the use of drag-and-drop, anyone from programming experts to someone with less or no experience in development can use them to develop and deploy applications. However, little is known about the vulnerabilities resulting from this new software development model. Although anyone can develop software with LCDPs, people with less cybersecurity knowledge can unwittingly add vulnerabilities to their applications. This thesis aims to understand the vulnerabilities of applications developed and deployed on these platforms, addressing the problem of vulnerabilities in LCDPs by developing an artefact. These vulnerabilities can be considered from three perspectives: platform, developer, and plugins. This artefact presents a top three vulnerabilities for each perspective, based on a literature review, database research and interviews with experts. Also, guidelines are provided on how to develop applications securely using these platforms, based on the systematised information on vulnerabilities. The results show that the artifact developed is a good method for understanding the problem defined and has been accepted in the industry for which it was created. This work contributes to understanding the security of applications developed with LCDPs and raises awareness among professionals in the sector by systematising information on cybersecurity in LCDPs.

As Low-Code Development Platforms (LCDPs) estão a ganhar cada vez mais força, mesmo no contexto industrial, como forma de tornar o desenvolvimento de software mais rápido, barato e fácil. Com as suas características visuais, como as interfaces gráficas de fácil utilização e o recurso ao drag-and-drop, qualquer pessoa, desde especialistas em programação a pessoas com pouca ou nenhuma experiência em desenvolvimento, pode utilizá-las para desenvolver e implementar aplicações. No entanto, pouco se sabe sobre as vulnerabilidades resultantes deste novo modelo de desenvolvimento de software. Apesar de qualquer pessoa poder desenvolver software com LCDPs, as pessoas com menos conhecimentos de cibersegurança podem, involuntariamente, adicionar vulnerabilidades às suas aplicações. Esta tese tem como objetivo compreender as vulnerabilidades das aplicações desenvolvidas e implementadas nestas plataformas, abordando o problema das vulnerabilidades nas LCDPs através do desenvolvimento de um artefacto. As vulnerabilidades podem ser consideradas a partir de três perspectivas: plataforma, programador e plugins. O artefacto apresenta um top três de vulnerabilidades para cada perspetiva, baseado numa revisão da literatura, pesquisa em bases de dados e entrevistas a especialistas. Além disso, são fornecidas directrizes sobre como desenvolver aplicações de forma segura através destas plataformas, com base na informação sistematizada sobre as vulnerabilidades. Os resultados mostram que o artefacto desenvolvido é um bom método para compreender o problema definido e foi aceite na indústria para a qual foi criado. Este trabalho contribui para a compreensão da segurança das aplicações desenvolvidas com LCDPs e sensibiliza os profissionais do sector, sistematizando informação sobre cibersegurança em LCDPs.