让你的低代码开发更安全的 5 种方法

公司继续需要熟练的软件开发人员,劳工统计局估计该行业在未来十年内将增长 22%,远高于整个就业市场 4% 的平均增长率。

然而,对开发人员的持续高需求也导致了以最小化编码的方式创建应用程序的平台的增长。低代码平台允许即插即用的方法来创建越来越复杂的软件系统。许多公司都在提供工具来轻松地将数据库与包含可视化的前端界面结合起来。

然而,低代码平台以及由此产生的应用程序的安全性和弹性仍然值得怀疑。尽管许多类型的安全问题(例如命令注入漏洞和缓冲区溢出)都从开发人员转移到低代码平台,但这些平台的用户仍然需要关注安全性。

公司可以通过以下五种方式确保其低代码应用程序的安全性和弹性

1. 改进对新的应用程序创建者干部的安全培训

低代码应用程序的创建者通常不是典型的开发人员,而是构建自己的工具来解决问题的业务用户。不幸的是,他们没有参加安全编码或安全应用程序设计课程,公司需要认识到知识的缺乏。

低代码开发人员分为两类:利用低代码来提高速度和响应能力的专业开发人员,以及坐在 IT 和开发之外的公民开发人员。公民开发人员不仅从未参加过安全的开发课程,而且可能没有参加过任何课程开发类——因此,常见的应用程序安全概念将更加陌生。

2. 了解低代码安全防护能多大程度保护您的应用程序

由于低代码开发通常包括从平台提供商或第三方创建的有限软件组件菜单中挑选组件,因此低代码创建者通常可以依赖平台实施的安全措施。

开发人员在这些平台上犯错误的自由度较小。就像 Java 没有消除所有这些漏洞一样,我认为我们将在无代码和低代码中看到同样的事情。总的来说,它有助于使应用程序更安全,因为它消除了您在其他环境中看到的漏洞类别,但并不能消除所有威胁。

3、平台风险不同

虽然低代码平台承担了大部分软件风险,但公司需要了解每个平台的选项以了解潜在的攻击面区域。例如,允许添加自定义代码的平台会引入潜在的安全问题以及用户定义的功能。允许第三方组件的低代码生态系统可能允许攻击者创建恶意软件。

4. 使用平台的安全工具

每个平台都提供一组不同的日志记录和安全工具。公司应该了解他们的平台提供商的安全方法以及他们需要使用哪些功能来保护他们的应用程序。

在许多方面,低代码开发人员的安全功能和系统与业务用户的安全功能和系统更相似,而不是高代码开发人员的安全功能和系统。面向中小型企业的流行低代码平台 AirTable 推荐类似于云用户建议的安全措施:采用双重身份验证,使用密码管理器处理复杂密码并尽量减少重复使用,并采取措施使安全功能自动化比如单点登录技术。

其他低代码安全措施类似于 SaaS 产品:基于角色的访问控制、数据安全和日志记录。

5. 弹性需要规划和设计

对于低代码平台,这意味着将应用程序安全测试和报告整合到低代码应用程序的开发和管理中。在一个真正有弹性的系统中,自动化将允许开发人员编写和提交代码,扫描同时就发生了。目标应该是让代码像拼写检查器一样自我修复。 

推荐阅读:低代码平台——数字化转型必不可少