风凌天下,yy玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

低代碼與無(wú)代碼開(kāi)發(fā)的四個(gè)安全隱患

如今，一股“全民開(kāi)發(fā)者”的風(fēng)潮正在興起，由非開(kāi)發(fā)人員對(duì)應(yīng)用進(jìn)行開(kāi)發(fā)和創(chuàng)造。通常，這種模式由低代碼或者無(wú)代碼框架輔助進(jìn)行。這些框架和工具允許非開(kāi)發(fā)人員通過(guò)GUI抓取或者移動(dòng)組件，創(chuàng)建邏輯友好的業(yè)務(wù)應(yīng)用。

創(chuàng)新互聯(lián)-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比梁山網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式梁山網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋梁山地區(qū)。費(fèi)用合理售后完善，十載實(shí)體公司更值得信賴(lài)。

讓更多的IT人員和業(yè)務(wù)社群創(chuàng)建應(yīng)用來(lái)驅(qū)動(dòng)業(yè)務(wù)價(jià)值，有非常明顯的吸引力。但這不代表低代碼和無(wú)代碼平臺(tái)本身沒(méi)有安全問(wèn)題。就像其他軟件產(chǎn)品一樣，開(kāi)發(fā)平臺(tái)和其相關(guān)代碼的安全問(wèn)題，不容忽視。

何為低代碼/無(wú)代碼開(kāi)發(fā)？

無(wú)代碼工具和平臺(tái)通過(guò)一個(gè)“抓取和放下”的界面，讓像商業(yè)分析師這樣的非程序員能夠創(chuàng)建和修改應(yīng)用。在某些情況下，還是需要一些代碼能力(低代碼)和其他應(yīng)用進(jìn)行整合，或者生成報(bào)告和修改用戶(hù)界面等功能。這通常會(huì)用像SQL或者Python這樣的高級(jí)語(yǔ)言實(shí)現(xiàn)。

低代碼/無(wú)代碼平臺(tái)的例子包括Salesforce Lightning、FileMaker、Microsoft PowerApps和Google App Maker。這些平臺(tái)有四個(gè)比較重要的安全顧慮。

1. 低代碼/無(wú)代碼應(yīng)用的低可視性

使用外部開(kāi)發(fā)的平臺(tái)總是會(huì)有可視性問(wèn)題。企業(yè)只是在使用軟件，但不知道源代碼是怎樣的、相關(guān)的安全隱患或者平臺(tái)已經(jīng)完成的測(cè)試情況和出現(xiàn)的問(wèn)題。

這個(gè)問(wèn)題可以通過(guò)向供應(yīng)商索要一份SBOM(軟件物料清單)來(lái)緩解。SBOM能夠提供關(guān)于其所有的軟件組件信息以及其相關(guān)漏洞。SBOM的使用數(shù)量正在上升，最近Linux Foundation的研究顯示，78%的組織計(jì)劃在2022年使用SBOM。這表示，SBOM的使用正在逐漸成熟，行業(yè)對(duì)操作、流程和工具還有很大的優(yōu)化空間。

2. 不安全的代碼

和可視性相對(duì)應(yīng)的是代碼的安全性問(wèn)題。低代碼和無(wú)代碼平臺(tái)依然會(huì)有代碼存在：只不過(guò)這些是抽象的代碼，讓終端用戶(hù)可以直接使用預(yù)設(shè)的代碼功能。這對(duì)非開(kāi)發(fā)者來(lái)說(shuō)無(wú)疑是一個(gè)福音，因?yàn)樗麄儾槐卦僮约簩?xiě)代碼了。但是問(wèn)題就在，使用的代碼可能是不安全的，并且可能會(huì)通過(guò)低代碼和無(wú)代碼平臺(tái)跨組織、跨應(yīng)用進(jìn)行傳播。

解決方式之一是和平臺(tái)供應(yīng)商合作，要求平臺(tái)中使用代碼的安全掃描結(jié)果。SAST和DAST的掃描結(jié)果能夠給客戶(hù)一定的保證，確保他們不是在復(fù)制那些不安全的代碼。在組織控制之外創(chuàng)建的代碼不是什么新鮮事，在開(kāi)源軟件大量使用的時(shí)代十分常見(jiàn)。有近98%的組織使用開(kāi)源代碼，同時(shí)還伴隨著如基礎(chǔ)設(shè)施即代碼(infrastructure-as-code, IaC)模板等其他供應(yīng)鏈相關(guān)威脅。

另一個(gè)需要考慮的方面，在于許多低代碼和無(wú)代碼平臺(tái)通常都是SaaS化提供。這就需要向供應(yīng)商要求像ISO、SOC2、FedRAMP等其他行業(yè)證明。這些能夠給組織的運(yùn)營(yíng)和安全控制提供更進(jìn)一步的保障。

SaaS應(yīng)用本身也會(huì)呈現(xiàn)出許多安全風(fēng)險(xiǎn)，需要適當(dāng)?shù)闹卫砗桶踩刂?。如果?duì)使用的SaaS應(yīng)用和平臺(tái)不進(jìn)行管制，組織就可能會(huì)暴露在風(fēng)險(xiǎn)之下。如果低代碼和無(wú)代碼平臺(tái)開(kāi)發(fā)的應(yīng)用會(huì)暴露組織或者客戶(hù)的敏感數(shù)據(jù)，就會(huì)加劇這種風(fēng)險(xiǎn)。

3. 無(wú)法監(jiān)管的影子IT

由于低代碼和無(wú)代碼平臺(tái)允許沒(méi)有開(kāi)發(fā)背景的人快速創(chuàng)建應(yīng)用，這就會(huì)導(dǎo)致影子IT泛濫。影子IT在業(yè)務(wù)部門(mén)和人員創(chuàng)建的應(yīng)用同時(shí)暴露在內(nèi)部和外部的時(shí)候發(fā)生。這些應(yīng)用可能有組織、客戶(hù)或者監(jiān)管的敏感數(shù)據(jù)，從而一旦發(fā)生泄漏事件，就會(huì)對(duì)組織形成一系列的負(fù)面影響。

4. 業(yè)務(wù)中斷

從業(yè)務(wù)連續(xù)性角度看，依賴(lài)低代碼和無(wú)代碼平臺(tái)的服務(wù)可能在平臺(tái)發(fā)生中斷時(shí)，打斷自身的業(yè)務(wù)。組織需要和包括低代碼和無(wú)代碼平臺(tái)的供應(yīng)商，為業(yè)務(wù)關(guān)鍵應(yīng)用建立SLA。

降低低代碼/無(wú)代碼平臺(tái)風(fēng)險(xiǎn)的一些建議

一些常見(jiàn)的安全最佳實(shí)踐都能夠緩解上述的風(fēng)險(xiǎn)，無(wú)論涉及的相關(guān)技術(shù)有哪些。這些優(yōu)秀實(shí)踐包括：

從有行業(yè)聲望的可信供應(yīng)商處購(gòu)買(mǎi)軟件和平臺(tái)。
確保這些供應(yīng)商有第三方認(rèn)證資質(zhì)，以證明他們內(nèi)部安全的實(shí)踐和流程。
對(duì)自身應(yīng)用和軟件庫(kù)中的低代碼和無(wú)代碼平臺(tái)負(fù)責(zé)，包括他們生產(chǎn)的應(yīng)用。
維持良好的準(zhǔn)入控制，知道誰(shuí)接入了平臺(tái)，以及他們被允許進(jìn)行的活動(dòng)。
實(shí)施數(shù)據(jù)安全實(shí)踐，理解關(guān)鍵數(shù)據(jù)在哪，以及通過(guò)低代碼和無(wú)代碼平臺(tái)創(chuàng)建的應(yīng)用是否存有這些敏感數(shù)據(jù)。
知道低代碼和無(wú)代碼平臺(tái)在哪部署。這些平臺(tái)是在一個(gè)像AWS、谷歌或者微軟這樣的全球混合型云服務(wù)商部署，還是在一個(gè)合法的本地?cái)?shù)據(jù)中心部署?

思考企業(yè)的安全文化也同樣重要。盡管說(shuō)平臺(tái)本身的使用者不一定是開(kāi)發(fā)者或者安全人員，他們依然應(yīng)該理解他們使用和創(chuàng)建的應(yīng)用與低代碼/無(wú)代碼平臺(tái)的安全隱患。“力量越大，責(zé)任越大”，這一點(diǎn)在低代碼和無(wú)代碼平臺(tái)上也一樣。

點(diǎn)評(píng)

企業(yè)總是以業(yè)務(wù)為優(yōu)先——這是必然的。當(dāng)業(yè)務(wù)人員自己有能力開(kāi)發(fā)應(yīng)用的時(shí)候，無(wú)疑會(huì)大大減少因溝通產(chǎn)生的成本以及潛在的團(tuán)隊(duì)不和諧問(wèn)題。但是，運(yùn)用第三方平臺(tái)也必然會(huì)產(chǎn)生軟件供應(yīng)鏈的隱患。文章提出了一些預(yù)防低代碼/無(wú)代碼平臺(tái)中潛在的安全隱患，但是，進(jìn)一步來(lái)看，僅僅預(yù)防是不夠的。一旦第三方平臺(tái)出現(xiàn)安全漏洞，業(yè)務(wù)團(tuán)隊(duì)和安全團(tuán)隊(duì)如何去修復(fù)和解決同樣會(huì)成為問(wèn)題，企業(yè)的業(yè)務(wù)運(yùn)作和安全的“剎車(chē)”在這個(gè)時(shí)候依然會(huì)再次碰撞。

因此，低代碼和無(wú)代碼平臺(tái)盡管說(shuō)必然是未來(lái)企業(yè)發(fā)展的方向，但是同樣也預(yù)示著軟件供應(yīng)鏈安全體系依然有極大的發(fā)展空間。

本文標(biāo)題：低代碼與無(wú)代碼開(kāi)發(fā)的四個(gè)安全隱患
鏈接地址：http://m.fisionsoft.com.cn/article/cccgcjc.html