低代碼和無代碼開發(fā)的4個安全問題（低代碼和無代碼開發(fā)的4個安全問題是什么）

低代碼并不意味著低風險。企業(yè)鼓勵更多人員開發(fā)應用程序，然而低代碼開發(fā)會產(chǎn)生新的漏洞，并可能隱藏安全問題。

什么是低代碼？

低代碼（Low Code）是一種可視化的應用開發(fā)方法，用較少的代碼、以較快的速度來交付應用程序。 低代碼是一組數(shù)字技術工具平臺，基于圖形化拖拽、參數(shù)化配置等更為高效的方式，實現(xiàn)快速構建所需要的業(yè)務平臺。通過少量代碼或不用代碼實現(xiàn)數(shù)字化轉型中的場景應用創(chuàng)新。

簡而言之，低代碼平臺提供了一種更快、更高效的方法來構建應用程序。憑借其可視化方法，低代碼開發(fā)平臺使開發(fā)人員能夠拖放預編碼塊，從而減少編寫代碼的需要。由于開發(fā)人員不必編寫那么多代碼，因此他們可以比傳統(tǒng)開發(fā)更快地構建從移動應用程序到完整系統(tǒng)的內容。

什么是無代碼？

無代碼就是不需要有編程經(jīng)驗，用戶通過無代碼開發(fā)平臺提供的行業(yè)化模板、拖放式組件和可視化流程設計頁面，就可以快速幫助企業(yè)搭建個性化應用。用戶不需要代碼開發(fā)就能夠搭建出銷售、運營、人事、采購等企業(yè)核心業(yè)務應用，打通企業(yè)內部數(shù)據(jù)。

企業(yè)通過無代碼開發(fā)，擺脫了對傳統(tǒng)軟件的依賴，同時也規(guī)避了信息孤島的難題。只需要本身的業(yè)務人員就可以維護，能夠很快適應企業(yè)的變化。企業(yè)在發(fā)展，業(yè)務系統(tǒng)也會隨著變化。

低代碼和無代碼開發(fā)的4個安全問題

低代碼并不意味著低風險。企業(yè)鼓勵更多人員開發(fā)應用程序，然而低代碼開發(fā)會產(chǎn)生新的漏洞，并可能隱藏安全問題。

如今，公民開發(fā)者的積極性越來越高，同時企業(yè)也希望由非開發(fā)者開發(fā)和創(chuàng)建應用程序。這通常使用低代碼或無代碼框架來促進。這些框架和工具允許非開發(fā)人員使用GUI來獲取和移動組件，以制作業(yè)務邏輯友好的應用程序。

授權更廣泛的IT和業(yè)務社區(qū)創(chuàng)建應用程序以推動業(yè)務價值具有明顯的吸引力。也就是說，使用低代碼和無代碼平臺并非沒有安全問題。就像任何其他軟件產(chǎn)品一樣，開發(fā)平臺及其相關代碼的嚴謹性是一個不容忽視的問題。

以下是使用此類平臺時應該注意的四個最重要的安全問題。

低代碼/無代碼應用程序的可見性低

使用由外部開發(fā)的平臺總是會帶來可見性問題。很多人使用這些軟件，卻不了解源代碼、相關漏洞或平臺所經(jīng)歷的潛在測試和嚴格程度。

這可以通過利用向供應商申請軟件物料清單(SBOM)等做法來緩解。這將提供對其包含的軟件組件及其相關漏洞的深入了解。使用最新的Linux基礎研究表明，78%的企業(yè)計劃在2022使用軟件物料清單(SBOM)。盡管如此，軟件物料清單(SBOM)的使用仍在發(fā)展，該行業(yè)還有很大的發(fā)展空間規(guī)范實踐、流程和工具。

不安全的代碼

與可見性問題相吻合的是不安全代碼的可能性。低代碼和無代碼平臺仍然有代碼。他們只是抽象了編碼，并允許最終用戶使用預先提供的代碼功能。這很好，因為它使非開發(fā)人員無需自己編寫代碼。當使用的代碼是不安全的，并且通過低代碼和無代碼平臺在企業(yè)和應用程序之間進行推斷時，就會出現(xiàn)問題。

解決這個問題的一種方法是與平臺供應商合作，要求平臺內使用的代碼的安全掃描結果。靜態(tài)和動態(tài)應用程序安全測試(SAST/DAST)等掃描結果可以為消費者提供一定程度的保證，即他們不僅僅是復制不安全的代碼。在企業(yè)控制之外創(chuàng)建代碼的想法并不是一個新概念，并且在開源軟件的使用中很普遍，98%以上的企業(yè)使用開源軟件，并且與其他存儲庫相關的軟件供應鏈威脅也很常見，例如用于基礎設施的代碼(IaC)模板。

另一個要考慮的方面是，許多低代碼和無代碼平臺都是以SaaS方式交付的。這使企業(yè)可以向供應商申請行業(yè)認證，例如ISO、SOC2、FedRAMP和其他認證。這為企業(yè)的運營和適用于SaaS應用程序/平臺本身的安全控制提供了進一步的保證。

SaaS應用程序本身存在許多安全風險，需要適當?shù)闹卫砗蛧栏竦陌踩?。如果沒有對企業(yè)正在使用的SaaS應用程序和平臺進行適當?shù)膶彶?，可能會讓其業(yè)務面臨不必要的風險。

失控的影子IT

由于低代碼和無代碼平臺允許快速創(chuàng)建應用程序，即使是那些沒有開發(fā)背景的人員，也可能導致影子IT的泛濫。影子IT發(fā)生在業(yè)務部門和員工創(chuàng)建應用程序并將它們用在企業(yè)內部或外部時。這些應用程序可能包含企業(yè)和客戶敏感的或受監(jiān)管的數(shù)據(jù)，如果這些應用程序在數(shù)據(jù)泄露中受到損害，可能會對企業(yè)產(chǎn)生一系列影響。

業(yè)務中斷

從業(yè)務連續(xù)性的角度來看，如果平臺出現(xiàn)中斷，作為服務交付的低代碼和無代碼平臺可能會中斷業(yè)務。對于企業(yè)而言，為關鍵業(yè)務應用程序(包括低代碼和無代碼平臺)建立服務水平協(xié)議(SLA)非常重要。

降低低代碼/無代碼開發(fā)風險的技巧

無論涉及何種技術，通用的安全最佳實踐都可以減輕開發(fā)風險，其中包括：

• 從行業(yè)聲譽良好的值得信賴的供應商那里購買軟件和平臺。
• 確保這些供應商擁有第三方認證證書，以代表其內部安全實踐和流程。
• 在企業(yè)的應用程序和軟件清單中考慮低代碼和無代碼平臺，以及通過使用它們創(chuàng)建的應用程序。
• 保持良好的訪問控制，知道誰在訪問平臺以及他們被允許執(zhí)行哪些活動。

• 實施安全數(shù)據(jù)實踐，以了解關鍵數(shù)據(jù)所在的位置，以及使用低代碼和無代碼平臺創(chuàng)建的應用程序是否包含敏感數(shù)據(jù)。

考慮企業(yè)的安全文化也很重要。雖然平臺用戶可能不是行業(yè)的開發(fā)人員或安全專家，但他們應該了解正在使用和創(chuàng)建的低代碼和無代碼平臺和應用程序的安全影響。正如他們所說，更多的權力伴隨著更大的責任，這適用于低代碼和無代碼平臺。

國內的簡搭(jabdp)開發(fā)平臺是一個免費且開源了的低代碼開發(fā)平臺，復雜的業(yè)務功能，只需要會基本的sql語句和javascript語法，就能進行快速開發(fā)，滿足其個性化的業(yè)務需求，設計出各種復雜的企業(yè)web應用。

簡搭(jabdp)開發(fā)平臺適合用于大部分的企業(yè)級web應用的開發(fā)，尤其適合企業(yè)信息管理系統(tǒng)（MIS）、企業(yè)資源計劃系統(tǒng)（ERP）、客戶關系管理系統(tǒng)（CRM），業(yè)務支撐系統(tǒng)（BSS）等。并且就一些經(jīng)典的項目案例提取整合出各種類型的項目模板，共享給開發(fā)者參考，開發(fā)者可以在原有的項目基礎上進行修改定制，以打造其個性化的企業(yè)信息化平臺。

好了，今天的文章分享到這就結束了，要是喜歡的朋友，請點個關注哦！–我是簡搭(jabdp)，我為自己“帶鹽”，感謝大家關注