低代碼并不意味着低風險。企業鼓勵更多人員開發應用程式,然而低代碼開發會産生新的漏洞,并可能隐藏安全問題。
什麼是低代碼?
低代碼(Low Code)是一種可視化的應用開發方法,用較少的代碼、以較快的速度來傳遞應用程式。 低代碼是一組數字技術工具平台,基于圖形化拖拽、參數化配置等更為高效的方式,實作快速建構所需要的業務平台。通過少量代碼或不用代碼實作數字化轉型中的場景應用創新。
簡而言之,低代碼平台提供了一種更快、更高效的方法來建構應用程式。憑借其可視化方法,低代碼開發平台使開發人員能夠拖放預編碼塊,進而減少編寫代碼的需要。由于開發人員不必編寫那麼多代碼,是以他們可以比傳統開發更快地建構從移動應用程式到完整系統的内容。
什麼是無代碼?
無代碼就是不需要有程式設計經驗,使用者通過無代碼開發平台提供的行業化模闆、拖放式元件和可視化流程設計頁面,就可以快速幫助企業搭建個性化應用。使用者不需要代碼開發就能夠搭建出銷售、營運、人事、采購等企業核心業務應用,打通企業内部資料。
企業通過無代碼開發,擺脫了對傳統軟體的依賴,同時也規避了資訊孤島的難題。隻需要本身的業務人員就可以維護,能夠很快适應企業的變化。企業在發展,業務系統也會随着變化。
低代碼和無代碼開發的4個安全問題
低代碼并不意味着低風險。企業鼓勵更多人員開發應用程式,然而低代碼開發會産生新的漏洞,并可能隐藏安全問題。
如今,公民開發者的積極性越來越高,同時企業也希望由非開發者開發和建立應用程式。這通常使用低代碼或無代碼架構來促進。這些架構和工具允許非開發人員使用GUI來擷取和移動元件,以制作業務邏輯友好的應用程式。
授權更廣泛的IT和業務社群建立應用程式以推動業務價值具有明顯的吸引力。也就是說,使用低代碼和無代碼平台并非沒有安全問題。就像任何其他軟體産品一樣,開發平台及其相關代碼的嚴謹性是一個不容忽視的問題。
以下是使用此類平台時應該注意的四個最重要的安全問題。
低代碼/無代碼應用程式的可見性低
使用由外部開發的平台總是會帶來可見性問題。很多人使用這些軟體,卻不了解源代碼、相關漏洞或平台所經曆的潛在測試和嚴格程度。
這可以通過利用向供應商申請軟體物料清單(SBOM)等做法來緩解。這将提供對其包含的軟體元件及其相關漏洞的深入了解。使用最新的Linux基礎研究表明,78%的企業計劃在2022使用軟體物料清單(SBOM)。盡管如此,軟體物料清單(SBOM)的使用仍在發展,該行業還有很大的發展空間規範實踐、流程和工具。
不安全的代碼
與可見性問題相吻合的是不安全代碼的可能性。低代碼和無代碼平台仍然有代碼。他們隻是抽象了編碼,并允許最終使用者使用預先提供的代碼功能。這很好,因為它使非開發人員無需自己編寫代碼。當使用的代碼是不安全的,并且通過低代碼和無代碼平台在企業和應用程式之間進行推斷時,就會出現問題。
解決這個問題的一種方法是與平台供應商合作,要求平台内使用的代碼的安全掃描結果。靜态和動态應用程式安全測試(SAST/DAST)等掃描結果可以為消費者提供一定程度的保證,即他們不僅僅是複制不安全的代碼。在企業控制之外建立代碼的想法并不是一個新概念,并且在開源軟體的使用中很普遍,98%以上的企業使用開源軟體,并且與其他存儲庫相關的軟體供應鍊威脅也很常見,例如用于基礎設施的代碼(IaC)模闆。
另一個要考慮的方面是,許多低代碼和無代碼平台都是以SaaS方式傳遞的。這使企業可以向供應商申請行業認證,例如ISO、SOC2、FedRAMP和其他認證。這為企業的營運和适用于SaaS應用程式/平台本身的安全控制提供了進一步的保證。
SaaS應用程式本身存在許多安全風險,需要适當的治理和嚴格的安全性。如果沒有對企業正在使用的SaaS應用程式和平台進行适當的審查,可能會讓其業務面臨不必要的風險。
失控的影子IT
由于低代碼和無代碼平台允許快速建立應用程式,即使是那些沒有開發背景的人員,也可能導緻影子IT的泛濫。影子IT發生在業務部門和員工建立應用程式并将它們用在企業内部或外部時。這些應用程式可能包含企業和客戶敏感的或受監管的資料,如果這些應用程式在資料洩露中受到損害,可能會對企業産生一系列影響。
業務中斷
從業務連續性的角度來看,如果平台出現中斷,作為服務傳遞的低代碼和無代碼平台可能會中斷業務。對于企業而言,為關鍵業務應用程式(包括低代碼和無代碼平台)建立服務水準協定(SLA)非常重要。
降低低代碼/無代碼開發風險的技巧
無論涉及何種技術,通用的安全最佳實踐都可以減輕開發風險,其中包括:
- 從行業聲譽良好的值得信賴的供應商那裡購買軟體和平台。
- 確定這些供應商擁有第三方認證證書,以代表其内部安全實踐和流程。
- 在企業的應用程式和軟體清單中考慮低代碼和無代碼平台,以及通過使用它們建立的應用程式。
- 保持良好的通路控制,知道誰在通路平台以及他們被允許執行哪些活動。
- 實施安全資料實踐,以了解關鍵資料所在的位置,以及使用低代碼和無代碼平台建立的應用程式是否包含敏感資料。
考慮企業的安全文化也很重要。雖然平台使用者可能不是行業的開發人員或安全專家,但他們應該了解正在使用和建立的低代碼和無代碼平台和應用程式的安全影響。正如他們所說,更多的權力伴随着更大的責任,這适用于低代碼和無代碼平台。
國内的簡搭(jabdp)開發平台是一個免費且開源了的低代碼開發平台,複雜的業務功能,隻需要會基本的sql語句和javascript文法,就能進行快速開發,滿足其個性化的業務需求,設計出各種複雜的企業web應用。
簡搭(jabdp)開發平台适合用于大部分的企業級web應用的開發,尤其适合企業資訊管理系統(MIS)、企業資源計劃系統(ERP)、客戶關系管理系統(CRM),業務支撐系統(BSS)等。并且就一些經典的項目案例提取整合出各種類型的項目模闆,共享給開發者參考,開發者可以在原有的項目基礎上進行修改定制,以打造其個性化的企業資訊化平台。
好了,今天的文章分享到這就結束了,要是喜歡的朋友,請點個關注哦!--我是簡搭(jabdp),我為自己“帶鹽”,感謝大家關注