低代码并不意味着低风险。企业鼓励更多人员开发应用程序,然而低代码开发会产生新的漏洞,并可能隐藏安全问题。
什么是低代码?
低代码(Low Code)是一种可视化的应用开发方法,用较少的代码、以较快的速度来交付应用程序。 低代码是一组数字技术工具平台,基于图形化拖拽、参数化配置等更为高效的方式,实现快速构建所需要的业务平台。通过少量代码或不用代码实现数字化转型中的场景应用创新。
简而言之,低代码平台提供了一种更快、更高效的方法来构建应用程序。凭借其可视化方法,低代码开发平台使开发人员能够拖放预编码块,从而减少编写代码的需要。由于开发人员不必编写那么多代码,因此他们可以比传统开发更快地构建从移动应用程序到完整系统的内容。
什么是无代码?
无代码就是不需要有编程经验,用户通过无代码开发平台提供的行业化模板、拖放式组件和可视化流程设计页面,就可以快速帮助企业搭建个性化应用。用户不需要代码开发就能够搭建出销售、运营、人事、采购等企业核心业务应用,打通企业内部数据。
企业通过无代码开发,摆脱了对传统软件的依赖,同时也规避了信息孤岛的难题。只需要本身的业务人员就可以维护,能够很快适应企业的变化。企业在发展,业务系统也会随着变化。
低代码和无代码开发的4个安全问题
低代码并不意味着低风险。企业鼓励更多人员开发应用程序,然而低代码开发会产生新的漏洞,并可能隐藏安全问题。
如今,公民开发者的积极性越来越高,同时企业也希望由非开发者开发和创建应用程序。这通常使用低代码或无代码框架来促进。这些框架和工具允许非开发人员使用GUI来获取和移动组件,以制作业务逻辑友好的应用程序。
授权更广泛的IT和业务社区创建应用程序以推动业务价值具有明显的吸引力。也就是说,使用低代码和无代码平台并非没有安全问题。就像任何其他软件产品一样,开发平台及其相关代码的严谨性是一个不容忽视的问题。
以下是使用此类平台时应该注意的四个最重要的安全问题。
低代码/无代码应用程序的可见性低
使用由外部开发的平台总是会带来可见性问题。很多人使用这些软件,却不了解源代码、相关漏洞或平台所经历的潜在测试和严格程度。
这可以通过利用向供应商申请软件物料清单(SBOM)等做法来缓解。这将提供对其包含的软件组件及其相关漏洞的深入了解。使用最新的Linux基础研究表明,78%的企业计划在2022使用软件物料清单(SBOM)。尽管如此,软件物料清单(SBOM)的使用仍在发展,该行业还有很大的发展空间规范实践、流程和工具。
不安全的代码
与可见性问题相吻合的是不安全代码的可能性。低代码和无代码平台仍然有代码。他们只是抽象了编码,并允许最终用户使用预先提供的代码功能。这很好,因为它使非开发人员无需自己编写代码。当使用的代码是不安全的,并且通过低代码和无代码平台在企业和应用程序之间进行推断时,就会出现问题。
解决这个问题的一种方法是与平台供应商合作,要求平台内使用的代码的安全扫描结果。静态和动态应用程序安全测试(SAST/DAST)等扫描结果可以为消费者提供一定程度的保证,即他们不仅仅是复制不安全的代码。在企业控制之外创建代码的想法并不是一个新概念,并且在开源软件的使用中很普遍,98%以上的企业使用开源软件,并且与其他存储库相关的软件供应链威胁也很常见,例如用于基础设施的代码(IaC)模板。
另一个要考虑的方面是,许多低代码和无代码平台都是以SaaS方式交付的。这使企业可以向供应商申请行业认证,例如ISO、SOC2、FedRAMP和其他认证。这为企业的运营和适用于SaaS应用程序/平台本身的安全控制提供了进一步的保证。
SaaS应用程序本身存在许多安全风险,需要适当的治理和严格的安全性。如果没有对企业正在使用的SaaS应用程序和平台进行适当的审查,可能会让其业务面临不必要的风险。
失控的影子IT
由于低代码和无代码平台允许快速创建应用程序,即使是那些没有开发背景的人员,也可能导致影子IT的泛滥。影子IT发生在业务部门和员工创建应用程序并将它们用在企业内部或外部时。这些应用程序可能包含企业和客户敏感的或受监管的数据,如果这些应用程序在数据泄露中受到损害,可能会对企业产生一系列影响。
业务中断
从业务连续性的角度来看,如果平台出现中断,作为服务交付的低代码和无代码平台可能会中断业务。对于企业而言,为关键业务应用程序(包括低代码和无代码平台)建立服务水平协议(SLA)非常重要。
降低低代码/无代码开发风险的技巧
无论涉及何种技术,通用的安全最佳实践都可以减轻开发风险,其中包括:
- 从行业声誉良好的值得信赖的供应商那里购买软件和平台。
- 确保这些供应商拥有第三方认证证书,以代表其内部安全实践和流程。
- 在企业的应用程序和软件清单中考虑低代码和无代码平台,以及通过使用它们创建的应用程序。
- 保持良好的访问控制,知道谁在访问平台以及他们被允许执行哪些活动。
- 实施安全数据实践,以了解关键数据所在的位置,以及使用低代码和无代码平台创建的应用程序是否包含敏感数据。
考虑企业的安全文化也很重要。虽然平台用户可能不是行业的开发人员或安全专家,但他们应该了解正在使用和创建的低代码和无代码平台和应用程序的安全影响。正如他们所说,更多的权力伴随着更大的责任,这适用于低代码和无代码平台。
国内的简搭(jabdp)开发平台是一个免费且开源了的低代码开发平台,复杂的业务功能,只需要会基本的sql语句和javascript语法,就能进行快速开发,满足其个性化的业务需求,设计出各种复杂的企业web应用。
简搭(jabdp)开发平台适合用于大部分的企业级web应用的开发,尤其适合企业信息管理系统(MIS)、企业资源计划系统(ERP)、客户关系管理系统(CRM),业务支撑系统(BSS)等。并且就一些经典的项目案例提取整合出各种类型的项目模板,共享给开发者参考,开发者可以在原有的项目基础上进行修改定制,以打造其个性化的企业信息化平台。
好了,今天的文章分享到这就结束了,要是喜欢的朋友,请点个关注哦!–我是简搭(jabdp),我为自己“带盐”,感谢大家关注
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。