低代码与无代码开发四个安全隐患.docx

《低代码与无代码开发四个安全隐患.docx》由会员分享，可在线阅读，更多相关《低代码与无代码开发四个安全隐患.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、低代码与无代码开发四个安全隐患下面是小编为大家整理的低代码与无代码开发四个平安隐患,供大家参考。 第 1 页 共 8 页 低代码与无代码开发的四个平安隐患书目 前言 . 1 1. 何为低代码/无代码开发？ . 2 1.1. 低代码/无代码应用的低可视性 . 2 1.2. 担心全的代码 . 2 1.3. 无法监管的影子 IT . 3 1.4. 业务中断 . 3 2. 了解低代码的得失与前景 . 3 2.1. 什么是低代码平台 . 3 2.2. 举个例子 . 4 2.3. 为何说低代码模式前途难料？ . 5 2.3.1. 专业度问题 . 5 2.3.2. 成本 . 5 2.3.3. 通用性问题 .

2、 6 2.3.4. 低代码平台的将来可能性 . 6 2.3.5. 工具化 . 6 2.3.6. 更高维的智能中台 . 6 3. 降低低代码/无代码平台风险的一些建议 . 7 4. 数世点评 . 7前言 低代码/无代码平台的例子包括 Salesforce Lightning、FileMaker、Microsoft PowerApps 和 Google App Maker。这些平台有四个比较重要的平安顾虑。如今，一股全民开发者的风潮正在兴起，由非开发人员对应用进行开发和创建。通常，这种模式由低代码或者无代码框架协助进行。这些框架和工具允许非开发人员通过 GUI 抓取或者移动组件，创建逻辑友好的业务

3、应用。 第 2 页 共 8 页 让更多的 IT 人员和业务社群创建应用来驱动业务价值，有特别明显的吸引力。但这不代表低代码和无代码平台本身没有平安问题。就像其他软件产品一样，开发平台和其相关代码的平安问题，不容忽视。1. 何为低代码/无代码开发？ 无代码工具和平台通过一个抓取和放下的界面，让像商业分析师这样的非程序员能够创建和修改应用。在某些状况下，还是须要一些代码实力（低代码）和其他应用进行整合，或者生成报告和修改用户界面等功能。这通常会用像 SQL 或者 Python 这样的高级语言实现。低代码/无代码平台的例子包括 Salesforce Lightning、FileMaker、Micro

4、soft PowerApps 和 Google App Maker。这些平台有四个比较重要的平安顾虑。1.1. 低代码/无代码应用的低可视性 运用外部开发的平台总是会有可视性问题。企业只是在运用软件，但不知道源代码是怎样的、相关的平安隐患或者平台已经完成的测试状况和出现的问题。这个问题可以通过向供应商索要一份 SBOM（软件物料清单）来缓解。SBOM 能够供应关于其全部的软件组件信息以及其相关漏洞。SBOM 的运用数量正在上升，最近 Linux Foundation 的探讨显示，78%的组织安排在 2022 年运用SBOM。这表示，SBOM 的运用正在渐渐成熟，行业对操作、流程和工具还有很大的

5、优化空间。1.2. 担心全的代码 和可视性相对应的是代码的平安性问题。低代码和无代码平台依旧会有代码存在：只不过这些是抽象的代码，让终端用户可以干脆运用预设的代码功能。这对非开发者来说无疑是一个福音，因为他们不必再自己写代码了。但是问题就在，运用的代码可能是担心全的，并且可能会通过低代码和无代码平台跨组织、跨应用进行传播。解决方式之一是和平台供应商合作，要求平台中运用代码的平安扫描结果。SAST 和 DAST 的扫描结果能够给客户肯定的保证，确保他们不是在复制那些担心全的代码。在组织限制之外创建的代码不是什么簇新事，在开源软件大 第 3 页 共 8 页 量运用的时代非常常见。有近 98%的组织

6、运用开源代码，同时还伴随着如基础设施即代码（infrastructure-as-code, IaC）模板等其他供应链相关威逼。另一个须要考虑的方面，在于很多低代码和无代码平台通常都是 SaaS 化供应。这就须要向供应商要求像 ISO、SOC2、FedRAMP 等其他行业证明。这些能够给组织的运营和平安限制供应更进一步的保障。SaaS 应用本身也会呈现出很多平安风险，须要适当的治理和平安限制。假如对运用的 SaaS 应用和平台不进行管制，组织就可能会暴露在风险之下。假如低代码和无代码平台开发的应用会暴露组织或者客户的敏感数据，就会加剧这种风险。1.3. 无法监管的影子 IT 由于低代码和无代码平

7、台允许没有开发背景的人快速创建应用，这就会导致影子 IT 泛滥。影子 IT 在业务部门和人员创建的应用同时暴露在内部和外部的时候发生。这些应用可能有组织、客户或者监管的敏感数据，从而一旦发生泄漏事务，就会对组织形成一系列的负面影响。1.4. 业务中断 从业务连续性角度看，依靠低代码和无代码平台的服务可能在平台发生中断时，打断自身的业务。组织须要和包括低代码和无代码平台的供应商，为业务关键应用建立 SLA。2. 了解低代码的得失与前景 2.1. 什么是低代码平台 Low Code （低代码）是相对于 All Code（高代码）和 No Code（无代码）的一个中间概念。低代码通常强调的是用户不须

8、要学习如何写代码，就可以完成写代码就能完成的工作。国内比较出名的低代码平台有阿里的宜搭，腾讯的云微搭，简道云、明道云等，国外有 Mendix，OutSystems、微软、Google、Amazon 等。低代码通常解决的问题，是用户无代码实力，却希望能够创建网站、网页、APP、小程序等应用或服务，内容包含但不限于报表、数据分析、业务流程流转、宣扬页面等。 第 4 页 共 8 页2.2. 举个例子 举一个最简洁的例子：LandingPage 着陆页。通常，一个完整的着陆页的工作，包含 UE 设计、UIUX 设计、前端开发、后端开发、服务器资源选购等工作。理论上至少须要产品经理、设计师、前端工程师、

9、后端工程师等人员一起进行开发，属于高代码模式。当你没有开发实力，但拥有设计实力的时候，将设计师的元素，通过低代码平台，进行逻辑梳理、页面配置、元素插入、数据绑定，得到想要的页面效果或产品，这属于低代码模式。当你既没有开发也没有设计实力时，可以运用平台供应的模板，进行肯定程度的修改，得到想要的页面效果或产品，这属于无代码模式。所以当面临选择的时候，如何评估什么时候该用什么平台呢？ 第 5 页 共 8 页 2.3. 为何说低代码模式前途难料？ 2.3.1. 专业度问题 社会分工告知我们，专业的人做专业的事。低代码平台并非无代码平台，照旧须要程序编写和软件思维，须要肯定的逻辑实力，从这个角度讲，低代

10、码平台操作员最好是程序员。而从业务角度上，自己的业务自己负责，产品经理或者负责人操作低代码平台，才有可能以最快的速度做出想要的产品或服务。从这个角度讲，低代码平台操作员最好是业务人员。然而由于过往的业务拆分得足够细致，人才市场对人员的专业度要求确定与工资相匹配，无论是程序员还是业务人员，都会将用心运用低代码平台看做是鸡肋。而真实操作低代码平台的操作员通常是实习生或打杂的同事，肯定程度上低代码操作员是没有太多专业性可言的，对职业发展并无太多好处。那么运用低代码将是更多人相对排斥的工作。2.3.2. 成本 低代码平台的学习成本，理论上低于高代码平台，高于无代码平台；运营成本则高于搞代码平台，低于无

11、代码平台。这种高不成低不就的问题，也正是其钱途难料的缘由之一。事实上类似外包公司的团队，虽然有低代码的需求（降低人员成本），但由于无代码平台也有许多并且也特别好用、成本更低、速度更快，所以这部分市场也是受到挤压的。 第 6 页 共 8 页2.3.3. 通用性问题 通用性问题是摆在低代码平台上几乎是难以迈过的坎。除了阿里、腾讯、字节这种巨头，能够通过自身生态找到需求，供应低代码通用性解决方案以外，其他大多数低代码厂商拿到 B 单，十有八九要有肯定量的特性化定制，终归国情和市场环境确定了 B 端需求方的主导地位。而特性化定制带来的问题，不仅仅是开发问题，还有长期维护问题。由于低代码平台还是没有逃脱

12、代码要求的思维方式，无论是产品通用性还是版本通用性，都对产品开发方是一个很大的考验。2.3.4. 低代码平台的将来可能性 2.3.5. 工具化 低代码平台对于有代码实力的高级程序员来说，可以通过工具化来解放生产力。在人员成本越来越高的当下，国内出现众多以 IT 服务为主的自由职业者或小型工作室。低代码是否能够更极致的打通上下游环节，降低运用和维护成本，赢得生产者们的信任，是将来能否赢得市场的一个重点。2.3.6. 更高维的智能中台 低代码肯定不是最直戳人心的卖点，甚至无代码也不是，成本、速度、效果才是。是否会出现人工智能的中台，如 Copilot 之于开发者，以专业的角度看不是不行能，不是不行

13、以，甚至应当是存在的。而这样的中台，估计还是会出现 第 7 页 共 8 页 在巨头的平台上，终归丰富的运用场景和代码储备，是这样高维 AI 的养分来源。程序员会因为低代码而失业么？或许到那时，代码实力会成为义务教化的一部分，终归人类的创建力在机器这个载体上的发展，好像才刚刚起先。3. 降低低代码/无代码平台风险的一些建议 一些常见的平安最佳实践都能够缓解上述的风险，无论涉及的相关技术有哪些。这些最佳实践包括：从有行业声望的可信供应商处购买软件和平台。确保这些供应商有第三方认证资质，以证明他们内部平安的实践和流程。对自身应用和软件库中的低代码和无代码平台负责，包括他们生产的应用。维持良好的准入限

14、制，知道谁接入了平台，以及他们被允许进行的活动。实施数据平安实践，理解关键数据在哪，以及通过低代码和无代码平台创建的应用是否存有这些敏感数据。知道低代码和无代码平台在哪部署。这些平台是在一个像 AWS、谷歌或者微软这样的全球混合型云服务商部署，还是在一个合法的本地数据中心部署？ 思索企业的平安文化也同样重要。尽管说平台本身的运用者不肯定是开发者或者平安人员，他们依旧应当理解他们运用和创建的应用与低代码/无代码平台的平安隐患。力气越大，责任越大，这一点在低代码和无代码平台上也一样。4. 数世点评 企业总是以业务为优先这是必定的。当业务人员自己有实力开发应用的时候，无疑会大大削减因沟通产生的成本以及潜在的团队不和谐问题。但是，运用第三方平台也必定会产生软件供应链的隐患。文章提出了一些预防低代码/无代码平台中潜在的平安隐患，但是，进一步来看，仅仅预防是不够的。一旦第三方平台出现平安漏洞，业务团队和平安团队如何去修复和解决同样会成为问题，企业的业务运作和平安的刹车在这个时候依旧会再次碰撞。 第 8 页 共 8 页 因此，低代码和无代码平台尽管说必定是将来企业发展的方向，但是同样也预示着软件供应链平安体系依旧有极大的发展空间。