低代码,无代码:创新还是安全灾难?

随着网络威胁的数量继续上升,企业正在安全,实用性和速度之间的每日权衡, 没有人愿意为最新的数据泄露事件登上头版新闻,组织也无法承受声誉受损和业务流失的后果。安全程序的核心是安全代码 – 软件开发人员必须从偏移量中考虑这一点,以确保他们的程序取得成功。

低代码目前正在席卷开发人员领域,但它是什么?简而言之,低代码无代码使用户能够开发新应用程序,而无需来自开发人员的大量输入(如果有的话)。它使企业能够使用预先构建的应用程序组件“块”来交付易于创建、可快速部署的应用程序。 

低代码无代码平台和工具针对非技术人员,例如公民开发人员,允许他们创建自己的应用程序,并提高专业开发人员的生产力。虽然这两个场景是完全不同的用例,但重要的是要了解低代码无代码平台不是传统编码的替代品,而是旨在补充它。 

虽然它们在营销环境中经常互换使用,但术语“低代码”和“无代码”之间存在细微差别。从本质上讲,没有代码是不存在的。总是有代码,它只是对开发人员隐藏。“无代码”一词更像是一个营销术语,表明该工具更适合非专业开发人员。而低代码工具超越了无代码方法,提供快速的应用程序开发,可选择使用代码或脚本。 

低代码无代码平台绝不是一个新现象。“低代码”一词实际上是在 2014 年创造的,但最近这些工具迅速流行起来。如此之多,分析公司Gartner 预计,到 2024 年,所有应用程序开发中将有65% 使用低代码应用程序平台。同样,Forrester 预测,到 2021 年,所有开发商店中有 75% 将采用低代码平台。 

使用低代码无代码平台有什么危险?

鉴于低代码无代码平台在速度、简单性和生产力方面可以为专业和普通开发人员提供的好处,很容易理解为什么这些工具的采用率正在迅速上升。但是,与任何新的软件开发方法一样,企业和 IT 团队需要意识到随之而来的潜在安全风险。在下一节中,我列出了一些需要注意的关键领域。

  • 能见度低 

使用低代码无代码平台不可避免地意味着使用无法轻松查看或检查的代码。如果开发低代码无代码平台的供应商不遵循最佳实践安全性和安全编码,那么这可能会导致进一步的问题。对于企业来说,运行供应商安全审计可能既费时又费钱,而对某些企业而言,甚至可能无法实现。例如,在许多情况下,企业将无法了解低代码无代码供应商实施的代码和安全控制,这意味着他们需要依赖他们已有的安全工具。 

  • 不安全的代码

无论正在开发什么(以及肉眼看起来多么简单和精简),从一开始就需要优先考虑安全性。如果平台的组件开发不安全,就会带来潜在的潜在问题。这些代码片段不可避免地被复制并粘贴到其他地方,尤其是对于那些最优先考虑让他们的软件运行的没有经验的开发人员。这样做时,任何错误或安全问题都会在复制不安全组件的任何地方继承。 

  • 访问控制

低代码无代码的一个关键特性是它使非开发人员可以轻松地以更简单的方式创建类似应用程序的功能。它具有成本效益、敏捷性、速度更快且更易于更改。但是,访问控制是实施阶段的一个重要考虑因素,以确保维护最佳实践,并且所有用户只能看到他们需要的内容(仅此而已)。当最终用户能够独立于企业级策略做出访问控制决策时,有可能为应该关闭的数据打开路径,这会使企业面临更大的风险。 

  • 业务逻辑缺陷

与访问控制权限类似,业务逻辑权限和特权应该融入软件的功能中。如果忘记某些事情,敏感数据可能会暴露给错误的人,甚至可能通过 API 连接进一步打开应用程序的威胁面。低代码/无代码平台的供应商需要像正常的软件开发一样测试和评估所有这些问题,否则可能会出现上述问题。 

企业如何解决这些问题?

尽管低代码无代码平台存在潜在的安全问题,但企业可以采取一些措施来降低风险。关键行动之一是谨慎选择供应商和合作伙伴,选择安全流程清晰透明的选项。该平台应该安全地开发,并且深入了解他们的安全最佳实践方法是明智的。他们使用什么技术栈?SAST、DAST、IAST扫描等安全工具怎么样?在整个组织中,最重要的是在开发团队中,对安全意识的重视程度如何?提前了解这一点可以确保您使用的平台是由与您的公司一样重视安全性的人员构建的。 

随时了解最新的安全问题和漏洞也不必耗费大量时间、精力或资源。有来自信息安全站点和软件供应商的邮件列表,专业和公民开发人员都可以订阅以保持最新状态。或者,有大量漏洞数据库可供低代码/无代码平台用户仔细阅读,以确保他们进行安全和最佳实践。归根结底,投资于安全意识是值得的,包括能够充当常见漏洞防御者的安全技能娴熟的动手开发人员,包括检查平台实现是否存在访问控制不佳、身份验证损坏或潜在危险的 API 连接等漏洞。

与无数其他安全问题一样,它最终归结为文化再教育。低代码无代码平台的问题之一是 CISO 和 IT 团队通常认为它们更安全,因为涉及的实际代码编写较少。正如本文所讨论和证明的那样,事实并非如此。这并不是说低代码平台不是一项有价值的商业投资。但是,重要的是要查看它们并应用与任何传统开发的软件相同级别的安全测试,因为只需要很小的易受攻击的窗口就可以产生更大的问题。 

推荐阅读:低代码案例:西门子使用低代码创建无缝体验