企业级飞速低代码开发平台 | 低代码并不意味着低风险

飞速低代码平台
• 阅读 583

在过去的几年中,低代码和无代码工具以及平台在企业中兴起。2021年,Gartner魔力象限在关于低代码的报告中指出,41%的非IT从业人员使用低代码/无代码工具来定制、构建数据,或提出技术解决方案。同时Gartner预测到2025年底,将有一半的新增低代码用户来自从事非IT 行业的商业客户。

​低代码/无代码工具提供支持拖放的交互界面,使得即使非程序员也能够创建或修改应用程序。从而,用户能够开发出新的数据驱动的应用程序,而且无需再依赖传统的开发团队。低代码/无代码框架允许企业通过使用预建的应用组件“块”轻松创建可快速部署的应用程序。

企业级飞速低代码开发平台 | 低代码并不意味着低风险

低代码/无代码平台以及工具针对的是两类完全不同的用户。一类是非技术人员,他们使用这些工具来创建自己的应用程序,通常是为了简化自己的工作流程,以及连通那些可能还互不通信的产品。另一类用户则是传统开发人员,使用这些预建的组件使他们的工作变得更简单,同时帮助他们快速组合这些预建的关键业务应用组件。

最近进行的一项调查显示,64%的IT专业人士认为低代码是他们首选的开发解决方案。另外多达59%的低代码项目都是业务团队和IT团队协作完成的,这意味着你需要像考虑其他第三方代码组件一样去考虑软件供应链中的低代码/无代码组件。

低代码/无代码的风险

与使用基于容器的架构或Serverless计算的传统开发模式一样,采用低代码/无代码模式同样存在与软件供应链相关的业务风险。任何模式的实现都依赖于提供的框架建立在安全可靠的基础上,要求他们不能含有那些可能违反法规或发生网络安全事件时会直接影响企业商誉的功能。

举一个关于使用容器的案例:我们曾看到大量的相关报告,恶意用户在容器镜像中植入隐藏的流氓软件,然后将镜像发布到公共Docker注册。这是一个很大的库,因为其信誉良好从中提取容器镜像的用户很少会再去检查一下。然而一旦没有对那些问题镜像进行确切的检查,任何引用它们的部署都将会为各种网络威胁打开大门,包括威胁数据安全的非预期功能。这就是软件供应链成为网络安全团队首要考虑的原因之一。

框架与第三方 API 的交互

2021年教会了我们一件关于软件的事情就是供应链很复杂!攻击者通过利用我们对开发范例的信任不断寻找漏洞。

向非技术人员推出低代码/无代码产品带来的安全风险可能比用户了解到的更为复杂。非技术人员可能也知道他们的应用有数据隐私相关的需求,但是完全不清楚框架如何与第三方API进行交互,满足需求更是无从谈起。从而可能无意中使他们的企业违反了相关法规要求。例如加利福尼亚隐私权法案(CPRA)定义了几种新的个人身份信息(PII)隐私权法案,并为相关数据传输的安全要求扩展了相关法案(CPPA)的定义。熟悉 CCPA 需求并使用低代码/无代码框架的非技术人员可能不知道如何正确处理这些新需求,甚至不知道框架是如何处理它们的。所以购买低代码/无代码解决方案的企业应在其供应商选择过程中关注以下内容:

  • 全面结合通用安全框架的安全审查,如 NIST 800-218《安全软件开发框架V1.1》。
  • 供应商提供的软件物料清单(SBOM)需要描述支持低代码/无代码框架的软件供应链的复杂性。
  • 审查数据传输和 API 使用情况,以确定数据处理的监管影响。
  • 了解低代码/无代码供应商针对处理漏洞补丁的服务级别协议。

底线,它仍然是代码

虽然低代码/无代码框架为开发人员以及非技术人员提供了一种简单的开发模式,但它们仍然需要代码提供支持的。“低代码”和“无代码”是指用户需要知道多少代码来实现应用,而不是它们包含多少代码。

与所有当下的软件一样,低代码/无代码框架也是依赖许多的代码库构建的:商业的第三方服务商、开源组件以及云 API 服务,这其中的每一个都代表一个独立的代码分支,每个分支又可以再包含自己的代码分支。这些分支一起构成了现在的服务供应链,因此该链中的任何妥协都可能带来相关攻击。这就是为什么要了解你的软件供应链是如此重要的原因。即使对于低代码/无代码框架也是如此,因为仍然有代码为这些应用程序提供支持。如果框架提供者没有能力管理相关风险,那么最终承担这些风险的就是该框架的使用者了。

点赞
收藏
评论区
推荐文章
保卫大萝卜 保卫大萝卜
2年前
阿里低代码引擎 LowCodeEngine 正式开源!
低代码引擎是什么?低代码引擎是一款为低代码平台开发者提供的,具备强大扩展能力的低代码研发框架。低代码引擎由阿里巴巴前端委员会、钉钉宜搭联合出品。使用者只需要基于低代码引擎便可以快速定制符合自己业务需求的低代码平台。同时,低代码引擎还在标准低代码设计器的基础上提供了简单易用的定制扩展能力,能够满足业务独特的功能需要。为什么我们要开发低代码引擎?2019年7
企业级低代码 | 灵魂拷问:低代码真的安全可靠吗? | 飞速创软
在一篇题为《低代码和无代码开发的4个安全问题》的文章中,作者ChrisHughes表示,“通过允许企业中更多的人开发应用程序,低代码开发会产生新的漏洞,并在安全性方面隐藏问题。”我并不同意这个说法。具体来说,低代码或无代码解决方案本身并没有什么安全或不安全的地方。所有应用程序开发框架、系统、流程和策略(手动或自动)的安全性与企业为确保它们安全所做的投资
企业级飞速低代码开发平台 | 产品介绍 | APass平台 | 全场景适用
​1、低代码是什么低代码通常是指APaas产品,通过为开发者提供可视化的应用开发环境,降低或去除应用开发对原生代码编写的需求量,进而实现便捷构建应用程序的一种解决方案。因此,低代码平台也常备成为APaas平台。广义上低代码概念涵盖所有能够完成代码的集成,减少代码开发的应用过程和服务,但狭义上低代码的概念更倾向定位满足企业业务端应用需求,通过可视化界面,利用少
Low-Code,一定“low”吗?
本文将重点介绍低代码相关知识,包括低代码的定义与意义、相关概念、行业发展等,同时介绍京东的低代码工具,期望能帮助大家更好地认识与理解低代码。
飞速低代码 | 低代码开发会带来更多安全问题吗?一文了解
​低代码不会带来额外的安全风险,也不会带来更多的运营风险或无法管理的成本,关键是要妥善处理。低代码开发目前已被大量应用,其本身并没有什么安全或不安全一说,所有应用程序开发框架、系统、流程和策略(手动或自动)的安全性取决于企业自身。企业不应该阻止使用低代码工具,而是应引入企业级低代码开发工具,让用户能够了解其工作原理,并鼓励使用这类工具。同时,确保这些工具的安
低代码开发,这是企业数字化的未来吗?
随着移动互联网的飞速发展,低代码开发平台已成为CIO的焦点。在市场竞争和跨行业持续创新的数字化环境中,低代码工具可以帮助企业简化应用程序开发,提高开发效率。在飞速低代码开发平台,可以使不同经验水平的开发人员通过拖放组件和模型驱动的逻辑来创建应用程序
企业级飞速低代码 | 低代码部署需要避免的七个错误
低代码产品和流程的部署可能充满错误,企业需要意识到这些,以便他们可以避免错误或最大限度地减少对开发运营的影响。以下是低代码部署需要避免的7个错误。根据研究机构Gartner公司的预测,2021年全球低代码开发市场规模将达到138亿美元,与2020年相比增长23%。在新冠疫情期间远程开发的激增将继续推动低代码的采用。该公司指出,低代码应用程序开发并不是什么新鲜
飞速创软 | “ 无代码 ” 并不是 “ 低代码 ” 的进阶版
​在同客户和业界人士探讨 “ 更高效率的软件开发方式 ” 时,发现大多数人并不清楚 “ 低代码 ”和 “ 无代码 ” 之间的区别。低代码和无代码开发平台都提供了无需编写代码即可开发软件应用程序的能力,而且厂商都在突出 “ 高生产率 ” 这一卖点来争夺市场,甚至有无代码厂商宣称 “ 无代码 ” 是 “ 低代码 ” 的进化版。事实真的如此吗?当充分了解这两种技术
飞速低代码平台 | 风口上的低代码,专业开发者需要考虑哪些?
低代码平台采用可视化的声明性技术,而不是传统的编程方式,开发人员和非开发人员都使用这些技术,并显著减少了交付应用程序和自动化过程的时间和精力。即便如此,低代码对不同的人来说仍然意味着很多事情,因为在这个总称下存在几种工具类型:网站生成器、表单生成器、API连接器、数据库生成器、工作流自动化等。这里,我们将介绍低代码开发与“无代码开发”的区别、主要用例、平台使
邢德全 邢德全
5个月前
万界星空科技低代码平台+商业开源低代码MES
低代码平台的最大优势之一是它们让人们可以大规模构建,而不会产生高昂的成本或花费太多时间。与传统开发相比,使用无代码和低代码工具进行软件开发所需的时间要少得多。