Plataformas que prometem agilizar e flexibilizar a criação de aplicações exigindo o mínimo possível de escrita de códigos estão se tornando populares; porém, especialistas se mostram preocupados sobre algumas questões.
Já se tornou clichê dizer o quanto a pandemia do novo coronavírus (SARS-CoV2), agora encarada como uma endemia, acelerou de forma vertiginosa o processo de transformação digital em muitas empresas. Na necessidade de digitalizar ainda mais a entrega de seus serviços e produtos, as corporações adotaram novas tecnologias e abraçaram conceitos que surgiram com a proposta de simplificar essa jornada pela digitalização. Uma dessas novidades são as plataformas de low-code e no-code.
Você certamente já ouviu falar sobre elas, e, a grosso modo, podemos encará-las como uma evolução daquelas boas e velhas ferramentas de criação de websites denominadas WYSISYG — sigla para “What You See Is What You Get”, algo como “O que você enxerga é o que você tem”. Estamos nos referindo às soluções que lhe permitem criar um website sem conhecimento algum sobre HTML, CSS e derivados: você possui um editor visual para montar a página da forma que quiser e o código vai sendo escrito “atrás das cortinas”.
As plataformas de low-code e no-code trazem uma proposta similar, mas para o desenvolvimento de aplicações. A ideia aqui é que você use editores e guias visuais para criar um software sem precisar escrever uma única linha de código (no-code) ou que você utilize bases prontas modulares para reduzir o tempo gasto com a escrita de códigos (low-code). Dessa forma, até mesmo quem não possui domínio sobre linguagens de programação pode, de certa forma, programar algo inteiramente novo.
Benefícios? Existem vários
É inegável que o conceito no-code/low-code possui sim inúmeros benefícios e é exatamente por isso que ele tem atraído inúmeros adeptos. Primeiramente, vamos pensar no fator humano. Como todos nós sabemos, há um déficit de mão-de-obra qualificada para o setor de tecnologia; logo, com a ajuda de uma plataforma que permite criar uma aplicação comercial sem nenhum conhecimento em programação, conseguimos contornar essa dificuldade de encontrar bons programadores e recrutá-los para a equipe.
O segundo benefício é a flexibilidade e a agilidade. Se escrever um software “na mão” exige muito tempo e uma esteira de desenvolvimento bastante complexa, as plataformas no-code e low-code prometem, acima de tudo, que qualquer pessoa desenvolva uma aplicação em tempo recorde. Isso também é interessante para empresas (principalmente aquelas de pequeno porte) que possuem urgência em prosseguir com sua jornada de digitalização e, por exemplo, criar um app para dispositivos móveis para oferecer seus serviços.
Com reduções tão drásticas nos custos de mão-de-obra e no tempo despendido para produzir uma aplicação, é óbvio que uma ferramenta de no-code ou low-code representa um excelente retorno sobre o investimento (ROI) se compararmos com os métodos tradicionais de desenvolvimento. Porém, muitos estão endeusando tal conceito como “a solução do futuro” sem se atentar a um fator importantíssimo: afinal, como fica a questão da segurança cibernética?
Com a palavra, os especialistas
O portal estadunidense Dark Reading realizou uma rápida pesquisa com executivos de segurança e eles levantaram algumas preocupações bastante pertinentes sobre a onda do no-code e low-code. Confira:
- Para 32% dos entrevistados, essas plataformas não possuem governança alguma sobre acesso e uso de dados. De fato, automações e facilidades que são oferecidas por esse tipo de ferramenta tornam muito fácil para seus operadores cometerem erros simples na gestão de dados sensíveis. Algumas, por conta de sua estrutura de funcionamento, até mesmo transpõem políticas de prevenção de perda de dados (data loss prevention ou DLP);
- Para 26% dos entrevistados, as aplicações criadas por essas plataformas não são confiáveis. Embora muitas ferramentas de no-code e low-code já estejam ressaltando a segurança dos códigos criados automaticamente em suas estratégias de marketing, precisamos concordar que esse ainda é um conceito muito novo e que possui um longo caminho a percorrer;
- Para outros 26% dos entrevistados, também é difícil manter uma operação de AppSec na arquitetura low-code e no-code. Desde que você não possui acesso ao código escrito por trás do editor visual, é difícil — ou às vezes impossível — realizar auditorias e garantir que a aplicação final seja robusta e confiável. Isso pode ser problemático sobretudo na hora de garantir conformidade com legislações;
- Por fim, 25% dos entrevistados foram além e ressaltaram a dificuldade de proteger algo que não possui visibilidade. De fato, o conceito low-code/no-code não combina com metodologias como DevSecOps, já que impõe barreiras e não fornece um ambiente colaborativo no qual desenvolvedores e especialistas em segurança cibernética possam interagir entre si com plena visibilidade do que está sendo feito.
Em suma, embora o conceito low-code/no-code tenha sido projetado para fornecer agilidade e facilidade, esses dois benefícios nem sempre conversam de maneira adequada com as necessidades de segurança cibernética de uma empresa.
Pense bem!
O objetivo aqui não é, de forma alguma, demonizar as plataformas de low-code e no-code. Estamos falando de ferramentas que são, de fato, interessantes sobretudo para o momento no qual estamos vivendo. Porém, é necessário levar essas preocupações em consideração antes de decidir criar uma aplicação crítica cujo código não possa ser acessado, visualizado, auditado e editado para garantir os princípios de privacy by default e security by default, algo que finalmente os desenvolvedores estavam começando a aplicar em sua esteira de desenvolvimento.
No fim das contas, é prudente colocar na ponta do lápis os riscos e os benefícios de utilizar essa novidade tecnológica. Há casos e casos, e tudo depende do perfil da empresa, suas necessidades e seu budget para prosseguir em sua jornada de digitalização. Contudo, vale a pena manter sempre a cautela — afinal, é o clássico “barato que pode sair caro”.