Российская компания «Сакура PRO» объявила о публичном выпуске Zero-Code-платформы. Прежде она существовала в виде заказных проектов. Теперь после систематизации опыта платформа готова для широкого применения. Это позволяет оценить риски безопасности, которые могут возникнуть в «свободном плавании».
- Введение
- Типовые проблемы безопасности для Low-Code/No-Code/Zero-Code
- Российская Zero-Code платформа «Сакура PRO»
- Выбор между Zero-Code, No-Code и Low-Code
- Архитектура «Сакура PRO»
- Защита платформы «Сакура PRO» от саботажа
- Новые элементы платформы «Сакура PRO»
- Выводы
Введение
Пока многие спорят о том, способен ли ИИ заменить разработчиков, чтобы пользователи могли безопасно создавать качественные и безопасные программные системы, реальная практика наглядно демонстрирует появление серии различных платформ типа Low-Code/No-Code/Zero-Code (технологии создания ИТ-продуктов без написания кода или с минимальным использованием ручного программирования). Они уже произвели революцию в разработке и развёртывании программных систем различного уровня, от целевых приложений до крупных ERP-платформ (Enterprise Resource Planning, программный комплекс для управления компанией).
Суть новшеств: заказчики получают возможность создания сложных корпоративных приложений силами собственных пользователей без наличия у них обширных знаний в области программирования. Такие платформы крайне интересны для компаний, частных лиц и государственных организаций, поскольку они позволяют пользователям самим формировать собственные запросы в программные решения, готовые для практического применения.
Идея упрощения процесса разработки стара как мир. Даже создание языков программирования С/С++ называлось не иначе, как «значительное упрощение по сравнению с Assembler». Но сейчас это вышло уже на уровень крупных прикладных разработок.
В то же время специалисты по ИБ обычно с большой осторожностью относятся к подобным проектам. Имея профессиональный опыт, они понимают, что ничего не рождается само собой. Чем больше разработчик предоставляет возможностей в своей системе, тем больше рисков по безопасности порождается.
Появление Low-Code/No-Code основано на том, что вендор сначала накапливает опыт, выявляет типовые, часто возникающие задачи пользователей. После этого он оформляет их в виде готовых модулей, предоставляя пользователям выбирать нужный вариант и сразу получать результат.
Рисунок 1. Критерии оценки корпоративных Zero-Code платформ (TAdviser, 2025)
Но потом выясняется, что разные пользователи хотят применять одну и ту же функцию немного по-разному. Ради совместимости решения вендор открывает «небольшую степень свободы». С точки зрения безопасности это ведёт к тому, что модули изнутри могут оказаться небезопасными.
Для наглядного примера вспомним, как происходило внедрение макросов в офисные программы Microsoft Office. Их появление породило волну разнообразных макровирусов. Вместе с гибкостью и новыми возможностями пользователи получили также опцию установки запрета на использование макросов. В корпоративном сегменте применение макросов сейчас практически запрещено.
Но вернёмся к Low-Code/No-Code. Согласно недавнему опросу компании Proofpoint, CISO-руководители 75 % организаций, использующих платформы Low-Code/No-Code, сообщили о выявленных нарушениях безопасности. Это подчёркивает, что с внедрением таких систем необходимо обращать внимание на то, какие меры безопасности будут приняты и насколько они надёжны для предотвращения киберугроз.
Типовые проблемы безопасности для Low-Code/No-Code/Zero-Code
Платформы Low-Code/No-Code/Zero-Code бесспорно удобны в эксплуатации. Но их проблемы с безопасностью возникают как раз из-за лёгкости создания и развёртывания приложений, поскольку это делается без должного контроля. Многие организации упускают из виду потенциальные риски безопасности, что нередко приводит к уязвимостям. Ниже — основные риски.
- Недостаточный контроль доступа. Одна из наиболее серьёзных проблем. Она возникает, когда пользователь получает ненадлежащее или неадекватное управление доступом, опираясь на политику выделения ролей в компании.
Чаще всего роли закрепляются так, что ограничивают доступ к определённым разделам в файловой системе и хранилищам данных. Но такая система далеко не всегда гибко интегрирована с работой других информационных систем. Сисадмин не знает всех деталей работы пользователей с документами, поэтому он управляет ролями хаотично, что приводит к рискам предоставления доступа к конфиденциальным данным или позволяет неавторизованным пользователям вносить изменения в приложениях и хранилищах. - Проблемы сохранения конфиденциальности данных. Особенностью Low-Code/No-Code-систем является то, что часто они интегрируются со сторонними сервисами и облачными хранилищами. В результате защищаемые данные подвергаются риску утечки, нарушаются законы о распространении конфиденциальной информации, не обеспечиваются требования об обработке персональных данных на территории РФ.
- Отсутствие шифрования данных. Не все Low-Code/No-Code-платформы предоставляют поддержку сквозного шифрования данных. В случае его отсутствия конфиденциальная информация, передаваемая или хранящаяся в приложениях, может оказаться уязвимой для несанкционированного доступа. Данные могут быть также перехвачены при передаче по сети, если используются в незащищённом виде.
- Уязвимости из-за интеграций со сторонними приложениями. Отличительной особенностью Low-Code/No-Code-платформ является широкое применение API для расширения их функциональности за счёт интеграции со сторонними приложениями/сервисами. Это также может создавать уязвимости, если такие функции не прошли соответствующую проверку или не защищены.
- Аутентификация и авторизация. Слабые механизмы аутентификации и авторизации могут допускать несанкционированный доступ к приложениям и данным.
- Отсутствие верификации входных данных. Ненадёжная проверка входных данных может привести к кибератакам через SQL-инъекции и межсайтовый скриптинг (XSS).
Рисунок 2. Программы, создающие наибольшие риски для безопасности организаций (ProofpoInt, 2025)
Российская Zero-Code платформа «Сакура PRO»
Для наглядности можно ознакомиться, как реализованы эти требования в реальности. Поводом стал анонс начала публичного применения Zero-Code-платформы «Сакура PRO». Её вендор — российская компания «Сакура PRO», входящая в группу компаний «ТЕХНОС-К» и занимающаяся ИТ-автоматизацией, в том числе в банковской сфере и в промышленности.
До сих пор платформа была доступна российским компаниям через заказную разработку. Среди её заказчиков есть, например, «Сбер» и «Газпром», общее количество заказчиков превышает 300. Таким образом, это уже зрелое решение. Партнёрами в её разработке выступают Aquarius, «Группа Астра», Deckhouse, «Интерпроком», Fortis, MONT, Orion soft, РЕД ОС, Sitronics Group, «Флант», Tantor Labs и др. (более 50 компаний). С 2020 года компания «Сакура PRO» является резидентом «Сколково».
Поводом для создания публичной Zero-Code-платформы «Сакура PRO» послужили накопленный при заказных разработках опыт и желание расширить присутствие на российском рынке. Публичный анонс состоялся на партн`рской конференции «Сакура PRO DAY 2025», которая прошла в Москве 7 ноября.
Там же были представлены результаты исследования TAdviser российского рынка Zero-Code-платформ, в котором «Сакура PRO» получила первое место.
Рисунок 3. Лучшие российские Zero-Code платформы (TAdviser, 2025)
Zero-Code-платформа «Сакура PRO» состоит из набора цифровых конструкторов. Они многофункциональны и согласованы между собой, позволяют создавать экспертные системы «под ключ», и с их помощью можно управлять бизнес-процессами.
Как продукт для заказной разработки платформа существует уже не менее 5 лет. В 2021 году она была внесена в Реестр российского ПО (№11529 от 20.09.2021). Создаваемые на этой платформе корпоративные решения могут иметь произвольную размерность и сложность. Их можно масштабировать для компаний любого уровня: от SMB (Small and Medium-sized Businesses, средний и малый бизнес) до крупных корпораций и госкомпаний.
Принадлежность к типу Zero-Code означает, что можно создавать корпоративные системы под бизнес-задачи без привлечения сторонних разработчиков.
Выбор между Zero-Code, No-Code и Low-Code
Виктор Фогельсон, директор по развитию «Сакура PRО», отметил на пресс-конференции по случаю публичного анонса платформы, что уже на стадии запуска было решено ориентироваться именно на Zero-Code. «На рынке подобных систем мы не нашли. Поэтому мы постарались объединить достоинства родственных систем этого типа и сделать их как Zero-Code».
В чём разница между No-Code, Low-Code и Zero-Code решениями? Это важно понимать, чтобы рекомендации по безопасности можно было правильно оценивать.
Самым простым типом принято считать решения No-Code. С точки зрения интерфейса они выстраиваются как инструменты, позволяющие получать бизнес-функции путём перетаскивания модулей (блоков, шаблонов) на экране и настройки их свойств. Таким путём обычно создают сейчас веб-сайты, приложения, а также управляют бизнес-процессами.
Рисунок 4. Пресс-конференция по запуску платформы «Сакура PRO»
Формат Low-Code близок к No-Code. Он также поддерживает процесс разработки через перетаскивание блоков, но предоставляет возможность добавлять пользовательский код выборочно и точно под задачи. Удобный интерфейс и гибкость позволяют создавать по-настоящему индивидуальные решения.
Особенность Low-code состоит в том, что реализация требует более глубокого понимания, рядовые пользователи не имеют таких знаний. Обычно подобные системы используют гибридный подход: часть функций максимально ограничена с точки зрения возможностей настройки, другая — полностью свободна. Это создаёт риски для ИБ, поскольку порождает высокую зависимость пользователя-разработчика от понимания работы платформы и собственной квалификации.
Третий вариант — это системы Zero-Code. Они позволяют получить максимальную автоматизацию при минимуме усилий. Их задача — упростить взаимодействие с пользователем. Это особенно ценно на повторяющихся задачах автоматизации. Если NoCode — это разработка без кода, то ZeroCode — создание решений без дополнительной настройки. От пользователя требуется только выбрать операцию, участников и условия выполнения. Все «шаблоны» уже настроены для использования.
Но вернёмся к Zero-Code платформе «Сакура PRO». Для её применения требуется максимально короткий срок обучения сотрудника.
Рисунок 5. Бизнес-конструктор платформы «Сакура PRO»
Архитектура «Сакура PRO»
Центром обработки платформы «Сакура PRО» служит сервер приложений. Минимальная конфигурация для его запуска: 8-ядерный CPU; 32 Гбайт ОЗУ; 250 Гбайт SSD, РедОС / Astra Linux. Как отметил Никита Припадчев, технический директор компании «Сакура PRО», «безопасность кода «Сакура» подтверждена его сертификацией».
Функциональные сервисы разворачиваются вокруг сервера приложений. Они выполняют сканирование, интеграцию данных, обеспечивают работу почтового сервиса, поддерживают необходимые функции сети, работу офисных приложений, позволяют использовать файловую систему с учётом ролевой модели доступа.
Рисунок 6. Архитектура платформы «Сакура PRO»
Технологический стек платформы: PostgresPro, Kafka, Docker, React, Redis, Apache Solr, Java. В базовой версии платформа рассчитана для установки on-premise (на собственном оборудовании заказчика). Но с технологической точки зрения нет проблем для облачной конфигурации. Как отметил Никита Припадчев, вендор уже сейчас готов предоставить и облачный вариант платформы, который может быть запущен на облаке заказчика или вендора.
Было отмечено, что одна из прошлых заказных версий прошла полную проверку на безопасность по инициативе заказчика. Проверку проводила компания Positive Technologies.
Защита платформы «Сакура PRO» от саботажа
Отметим, что в основном проверка ограничивается проверкой кода, конфигураций и настройки. Но как показывает глобальный опрос руководителей ИБ-служб (CISO), проведённый в 2025 году компанией Proofpoint, наиболее частой причиной возникновения серьёзных уязвимостей является человеческий фактор / саботаж.
Рисунок 7. Главные причины инцидентов с утечкой данных (ProofpoInt, 2025)
Можно ли оценить безопасность платформы «Сакура PRO» с точки зрения её защищённости от саботажа?
Понимание этих рисков подтвердил Максим Зубарев, операционный директор компании «Сакура PRО». Он отметил, что их приходится учитывать при реализации крупных проектов. Прежде всего необходимо учитывать саботаж со стороны пользователей.
Zero-Code платформа «Сакура PRО» защищена от подобных рисков. Это реализовано за счёт поддержки собственной системы управления ролями, а также использования средств шифрования и контроля за передачей данных. «Здесь, скорее всего, проявления саботажа со стороны бизнес-пользователя не будет», — отметил Максим Зубарев.
Начинка «Сакура PRО», доступная через интерфейс платформы, реализована в канонах Zero-Сode. Пользователь может работать с такими функциональными элементами, как «База данных», «Конструктор интерфейса», «BI», «Ролевая модель», «Загрузка XML», «Справочники», «Управление бизнес-процессами», «Отчёты», «Интеграция данных».
Широкий набор функций позволяет реализовать бизнес-процессы и получить результат, не уступающий по своим возможностям тому, который дают системы SAP, HCL Notes, Microsoft Dynamics и другие. Платформа позволяет автоматизировать сложные аналитические бизнес-процессы и выступать в роли интеграционной шины.
Новые элементы платформы «Сакура PRO»
В каком направлении идёт развитие Zero-Code-платформ? На публичном анонсе «Сакура PRО» были представлены 2 новые разработки: программа «Сакура ЛИСТ», предлагаемая как безопасная альтернатива офисной программе Excel, и система управления бизнес-процессами через чаты «Сакура ИИ».
Программа «Сакура ЛИСТ» взамен Excel
На первый взгляд программа «Сакура ЛИСТ» во многом похожа по функциональным возможностям на офисный продукт Excel. Эта альтернативная разработка не ограничивается только требованием импортозамещения.
В процессе общения с рынком разработчик понял, что заказчики используют Excel для более широкого спектра прикладных задач, чем изначально задумывалось. Например, его применяют для совместной работы над документами. Но при этом не используют средства контроля доступа к данным, храня их в общедоступном месте. Подобный «отход» создаёт риски для безопасной работы с данными, поскольку сам Excel не имеет функциональных ограничений.
Реализация этих недостающих функций и есть главная цель создания альтернативного решения «Сакура ЛИСТ».
Рисунок 8. Управлять бизнес-процессами можно по-новому с помощью ИИ-чата
Управление бизнес-процессами через чат с помощью ИИ
Вторая разработка связана с расширением форматов команд управления. Традиционный для Zero-Code способ предполагает поиск пользователем готовых шаблонов, выбор участников бизнес-процессов, указания результатов. Программа «Сакура ИИ» (LLM) позволяет реализовать принцип Zero-Code по-новому: с её помощью можно формировать команды для управления бизнес-процессами через чаты с применением ИИ.
Команды отдаются голосом на естественном языке, а программа сама вносит изменения в шаблонный процесс и собирает необходимый набор функций для обработки.
Применение чат-ботов – это более гибкий способ для развития Zero-Code.
Выводы
Публичный выпуск платформы «Сакура PRO» даёт возможность лучше оценить возможности Zero-Code. Этот тип программ востребован в бизнесе, поскольку позволяет гибко управлять бизнес-процессами и быстро получать кастомизированный результат. Но с Zero-Code связаны и характерные для него риски безопасности. Заказчикам придётся бороться с ними вручную, если вендор не предусмотрел дополнительные средства в своей платформе для этого.
Пример российского разработчика «Сакура PRO» показывает, что вендор может помочь заказчикам и сразу внедрить функции контроля и защиты, которые помогут противостоять даже такому сложную риску, как человеческий фактор.
