cell最近,低代码已经成为加速软件开发的工具。据 Gartner 的预测,在未来三年内,低代码将推动几乎三分之二的应用程序开发。到 2024 年,65% 的应用程序将使用低代码模式构建。
但这些工具仍在努力获得商业用户的认可。作为一种技术推动想法,它还伴随着一个警告,也就是并非所有的低代码工具都是平等的。
弗雷斯特公司(Forrester)的高级分析师约翰・布拉廷塞维奇 (John Bratincevic)说:“不能仅仅因为某些东西的低代码,就意味着任何人都可以不经过培训就坐下来使用它。”“这需要有一系列的经验,从非常简单的编程、到几乎每个人都能学会的编程、再到非常技术性的编程、最后到需要非常强大的经验编程。”
布拉廷塞维奇还表示:“我认为在几年内将会有一些产品非常适合多种角色,并且能够同样支持专业开发人员和商业用户。”“目前这种情况非常罕见,或者根本就不是这样。”
Heap 公司的首席技术官丹・罗宾逊(Dan Robinson)认为,那些给人们提供迭代技术的例子,可以提高对于开发者的吸引力,并帮助低代码跨越业务鸿沟。但是,仅仅获得低代码工具,并将其直接介绍给员工是行不通的。
罗宾逊说:“对于一个从来没有参与过软件开发或创建软件产品的人来说,这实际上是一个非常令人生畏的空白。”
布拉廷塞维奇表示,希望向商业用户推广低代码使用的首席信息官们,可以在黑客大会中发现价值,以便为商业用户提供一个安全的空间,让他们在解决商业问题的同时体验这项技术。然后再让这些人回到各自团队中,从而成为技术布道者。
不过,随着安全漏洞不断涌现,代码安全性的问题也接踵而至。大多数低代码平台允许非技术用户快速构建应用程序,并为应用程序的各个方面(如 API、数据访问、Web 前端、部署等)提供内置安全性。
有些低代码平台实现了专门给专业开发人员研发出了相关功能,并能让开发者在平台级别进行自定义。但是,没有哪个平台声称自己是万能的。
如果你是业务主管,那就应该评估可能产生的内部风险和外部风险,并确保实施某些防护措施,来保护低代码构建的应用程序的安全。
API 优先策略在当今的组织中越来越普遍,其用于公开服务、数据等,但它们是否都以同样的方式追求 API 安全性?据 Salt 安全报告显示,27% 运行生产 API 的组织根本没有 API 安全策略。如果底层 API 不足够安全,使用低代码杠杆 API 构建的 Web 和移动应用程序可能会成为被攻击的载体。
在与低代码应用程序集成之前,通过渗透测试或扫描工具检查 API 的安全性,是很重要的一件事。使用基于 OAuth 的 API 令牌交换和适当的令牌刷新机制,可以确保它们不会受到损害。此外,还可通过创建具有附加认证层的代理来隐藏 API。
一般来说,技术领导者需要从安全性和治理的角度,来密切审查对于业务关键数据的访问。低代码平台允许创建具有特定权限集的角色来查看或修改这些数据,开发团队在开发应用程序时,应谨慎且正确地设置这些权限。
当开发人员无意中扩展了特定角色的权限,从而暴露了额外的数据或提供了更高的访问权限时,通常会出现数据泄露。
为了避免这些情况,IT 安全团队通常会建立组织范围的身份验证提供者、或单点登录(SSO)系统,这些系统定义了整个组织的角色和权限。值得注意的是,低代码应用程序应可以和九游娱乐这些系统无缝集成。
《API 安全状况报告》指出,82% 的组织不知道哪些 API 暴露了 PII(Personally identifiable information)或其他敏感数据。在低代码应用程序中使用此类 API 时,需要来自内部安全团队的额外审查过程,并且必须获得应用程序用户的同意才能共享信息。
疫情期间,远程工作变得更加普及,许多组织正在将其应用程序和 API 推广到网络之外。这将使低代码应用程序需要额外的安全性才能在边界之外运行,只有这样才能防止恶意攻击。低代码平台应该为构建 Web 和移动应用程序提供一个安全的框架。
Veracode 的首席技术官克里斯・威索帕尔(Chris Wysopal)提出了一个关键的讨论点,即许多低代码平台生成大量的专有软件,这些软件有些不透明,给安全性带来了挑战。尽管有一些平台生成传统的代码,但它是代码和专有库的混合体,因此很难运行静态分析。
此外,低代码平台具有基于开放标准的代码和众所周知的开放源代码库,这让大多数静态分析工具能够对已知漏洞执行审计并预先检测它们。除此之外,建议开发者对应用程序运行动态分析,以识别运行时可能出现的漏洞。
根据 DevSecOps 的最新趋势,将安全性左移是可取的,这样可以在应用程序开发的早期,引入必要的验证九游娱乐和审计步骤。这将有助于在开发的早期阶段消除漏洞,并有助于避免后期出现严重的安全缺陷。
最后,低代码开发团队应该对潜在的威胁和安全风险有足够的认识。如果操作得当,低代码不一定会带来风险。
