低代碼和無(wú)代碼開(kāi)發(fā)的4個(gè)安全問(wèn)題（低代碼和無(wú)代碼開(kāi)發(fā)的4個(gè)安全問(wèn)題是什么）

低代碼并不意味著低風(fēng)險(xiǎn)。企業(yè)鼓勵(lì)更多人員開(kāi)發(fā)應(yīng)用程序，然而低代碼開(kāi)發(fā)會(huì)產(chǎn)生新的漏洞，并可能隱藏安全問(wèn)題。

什么是低代碼？

低代碼（Low Code）是一種可視化的應(yīng)用開(kāi)發(fā)方法，用較少的代碼、以較快的速度來(lái)交付應(yīng)用程序。 低代碼是一組數(shù)字技術(shù)工具平臺(tái)，基于圖形化拖拽、參數(shù)化配置等更為高效的方式，實(shí)現(xiàn)快速構(gòu)建所需要的業(yè)務(wù)平臺(tái)。通過(guò)少量代碼或不用代碼實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型中的場(chǎng)景應(yīng)用創(chuàng)新。

簡(jiǎn)而言之，低代碼平臺(tái)提供了一種更快、更高效的方法來(lái)構(gòu)建應(yīng)用程序。憑借其可視化方法，低代碼開(kāi)發(fā)平臺(tái)使開(kāi)發(fā)人員能夠拖放預(yù)編碼塊，從而減少編寫(xiě)代碼的需要。由于開(kāi)發(fā)人員不必編寫(xiě)那么多代碼，因此他們可以比傳統(tǒng)開(kāi)發(fā)更快地構(gòu)建從移動(dòng)應(yīng)用程序到完整系統(tǒng)的內(nèi)容。

什么是無(wú)代碼？

無(wú)代碼就是不需要有編程經(jīng)驗(yàn)，用戶通過(guò)無(wú)代碼開(kāi)發(fā)平臺(tái)提供的行業(yè)化模板、拖放式組件和可視化流程設(shè)計(jì)頁(yè)面，就可以快速幫助企業(yè)搭建個(gè)性化應(yīng)用。用戶不需要代碼開(kāi)發(fā)就能夠搭建出銷(xiāo)售、運(yùn)營(yíng)、人事、采購(gòu)等企業(yè)核心業(yè)務(wù)應(yīng)用，打通企業(yè)內(nèi)部數(shù)據(jù)。

企業(yè)通過(guò)無(wú)代碼開(kāi)發(fā)，擺脫了對(duì)傳統(tǒng)軟件的依賴，同時(shí)也規(guī)避了信息孤島的難題。只需要本身的業(yè)務(wù)人員就可以維護(hù)，能夠很快適應(yīng)企業(yè)的變化。企業(yè)在發(fā)展，業(yè)務(wù)系統(tǒng)也會(huì)隨著變化。

低代碼和無(wú)代碼開(kāi)發(fā)的4個(gè)安全問(wèn)題

低代碼并不意味著低風(fēng)險(xiǎn)。企業(yè)鼓勵(lì)更多人員開(kāi)發(fā)應(yīng)用程序，然而低代碼開(kāi)發(fā)會(huì)產(chǎn)生新的漏洞，并可能隱藏安全問(wèn)題。

如今，公民開(kāi)發(fā)者的積極性越來(lái)越高，同時(shí)企業(yè)也希望由非開(kāi)發(fā)者開(kāi)發(fā)和創(chuàng)建應(yīng)用程序。這通常使用低代碼或無(wú)代碼框架來(lái)促進(jìn)。這些框架和工具允許非開(kāi)發(fā)人員使用GUI來(lái)獲取和移動(dòng)組件，以制作業(yè)務(wù)邏輯友好的應(yīng)用程序。

授權(quán)更廣泛的IT和業(yè)務(wù)社區(qū)創(chuàng)建應(yīng)用程序以推動(dòng)業(yè)務(wù)價(jià)值具有明顯的吸引力。也就是說(shuō)，使用低代碼和無(wú)代碼平臺(tái)并非沒(méi)有安全問(wèn)題。就像任何其他軟件產(chǎn)品一樣，開(kāi)發(fā)平臺(tái)及其相關(guān)代碼的嚴(yán)謹(jǐn)性是一個(gè)不容忽視的問(wèn)題。

以下是使用此類(lèi)平臺(tái)時(shí)應(yīng)該注意的四個(gè)最重要的安全問(wèn)題。

低代碼/無(wú)代碼應(yīng)用程序的可見(jiàn)性低

使用由外部開(kāi)發(fā)的平臺(tái)總是會(huì)帶來(lái)可見(jiàn)性問(wèn)題。很多人使用這些軟件，卻不了解源代碼、相關(guān)漏洞或平臺(tái)所經(jīng)歷的潛在測(cè)試和嚴(yán)格程度。

這可以通過(guò)利用向供應(yīng)商申請(qǐng)軟件物料清單(SBOM)等做法來(lái)緩解。這將提供對(duì)其包含的軟件組件及其相關(guān)漏洞的深入了解。使用最新的Linux基礎(chǔ)研究表明，78%的企業(yè)計(jì)劃在2022使用軟件物料清單(SBOM)。盡管如此，軟件物料清單(SBOM)的使用仍在發(fā)展，該行業(yè)還有很大的發(fā)展空間規(guī)范實(shí)踐、流程和工具。

不安全的代碼

與可見(jiàn)性問(wèn)題相吻合的是不安全代碼的可能性。低代碼和無(wú)代碼平臺(tái)仍然有代碼。他們只是抽象了編碼，并允許最終用戶使用預(yù)先提供的代碼功能。這很好，因?yàn)樗狗情_(kāi)發(fā)人員無(wú)需自己編寫(xiě)代碼。當(dāng)使用的代碼是不安全的，并且通過(guò)低代碼和無(wú)代碼平臺(tái)在企業(yè)和應(yīng)用程序之間進(jìn)行推斷時(shí)，就會(huì)出現(xiàn)問(wèn)題。

解決這個(gè)問(wèn)題的一種方法是與平臺(tái)供應(yīng)商合作，要求平臺(tái)內(nèi)使用的代碼的安全掃描結(jié)果。靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(SAST/DAST)等掃描結(jié)果可以為消費(fèi)者提供一定程度的保證，即他們不僅僅是復(fù)制不安全的代碼。在企業(yè)控制之外創(chuàng)建代碼的想法并不是一個(gè)新概念，并且在開(kāi)源軟件的使用中很普遍，98%以上的企業(yè)使用開(kāi)源軟件，并且與其他存儲(chǔ)庫(kù)相關(guān)的軟件供應(yīng)鏈威脅也很常見(jiàn)，例如用于基礎(chǔ)設(shè)施的代碼(IaC)模板。

另一個(gè)要考慮的方面是，許多低代碼和無(wú)代碼平臺(tái)都是以SaaS方式交付的。這使企業(yè)可以向供應(yīng)商申請(qǐng)行業(yè)認(rèn)證，例如ISO、SOC2、FedRAMP和其他認(rèn)證。這為企業(yè)的運(yùn)營(yíng)和適用于SaaS應(yīng)用程序/平臺(tái)本身的安全控制提供了進(jìn)一步的保證。

SaaS應(yīng)用程序本身存在許多安全風(fēng)險(xiǎn)，需要適當(dāng)?shù)闹卫砗蛧?yán)格的安全性。如果沒(méi)有對(duì)企業(yè)正在使用的SaaS應(yīng)用程序和平臺(tái)進(jìn)行適當(dāng)?shù)膶彶?，可能?huì)讓其業(yè)務(wù)面臨不必要的風(fēng)險(xiǎn)。

失控的影子IT

由于低代碼和無(wú)代碼平臺(tái)允許快速創(chuàng)建應(yīng)用程序，即使是那些沒(méi)有開(kāi)發(fā)背景的人員，也可能導(dǎo)致影子IT的泛濫。影子IT發(fā)生在業(yè)務(wù)部門(mén)和員工創(chuàng)建應(yīng)用程序并將它們用在企業(yè)內(nèi)部或外部時(shí)。這些應(yīng)用程序可能包含企業(yè)和客戶敏感的或受監(jiān)管的數(shù)據(jù)，如果這些應(yīng)用程序在數(shù)據(jù)泄露中受到損害，可能會(huì)對(duì)企業(yè)產(chǎn)生一系列影響。

業(yè)務(wù)中斷

從業(yè)務(wù)連續(xù)性的角度來(lái)看，如果平臺(tái)出現(xiàn)中斷，作為服務(wù)交付的低代碼和無(wú)代碼平臺(tái)可能會(huì)中斷業(yè)務(wù)。對(duì)于企業(yè)而言，為關(guān)鍵業(yè)務(wù)應(yīng)用程序(包括低代碼和無(wú)代碼平臺(tái))建立服務(wù)水平協(xié)議(SLA)非常重要。

降低低代碼/無(wú)代碼開(kāi)發(fā)風(fēng)險(xiǎn)的技巧

無(wú)論涉及何種技術(shù)，通用的安全最佳實(shí)踐都可以減輕開(kāi)發(fā)風(fēng)險(xiǎn)，其中包括：

• 從行業(yè)聲譽(yù)良好的值得信賴的供應(yīng)商那里購(gòu)買(mǎi)軟件和平臺(tái)。
• 確保這些供應(yīng)商擁有第三方認(rèn)證證書(shū)，以代表其內(nèi)部安全實(shí)踐和流程。
• 在企業(yè)的應(yīng)用程序和軟件清單中考慮低代碼和無(wú)代碼平臺(tái)，以及通過(guò)使用它們創(chuàng)建的應(yīng)用程序。
• 保持良好的訪問(wèn)控制，知道誰(shuí)在訪問(wèn)平臺(tái)以及他們被允許執(zhí)行哪些活動(dòng)。

• 實(shí)施安全數(shù)據(jù)實(shí)踐，以了解關(guān)鍵數(shù)據(jù)所在的位置，以及使用低代碼和無(wú)代碼平臺(tái)創(chuàng)建的應(yīng)用程序是否包含敏感數(shù)據(jù)。

考慮企業(yè)的安全文化也很重要。雖然平臺(tái)用戶可能不是行業(yè)的開(kāi)發(fā)人員或安全專(zhuān)家，但他們應(yīng)該了解正在使用和創(chuàng)建的低代碼和無(wú)代碼平臺(tái)和應(yīng)用程序的安全影響。正如他們所說(shuō)，更多的權(quán)力伴隨著更大的責(zé)任，這適用于低代碼和無(wú)代碼平臺(tái)。

國(guó)內(nèi)的簡(jiǎn)搭(jabdp)開(kāi)發(fā)平臺(tái)是一個(gè)免費(fèi)且開(kāi)源了的低代碼開(kāi)發(fā)平臺(tái)，復(fù)雜的業(yè)務(wù)功能，只需要會(huì)基本的sql語(yǔ)句和javascript語(yǔ)法，就能進(jìn)行快速開(kāi)發(fā)，滿足其個(gè)性化的業(yè)務(wù)需求，設(shè)計(jì)出各種復(fù)雜的企業(yè)web應(yīng)用。

簡(jiǎn)搭(jabdp)開(kāi)發(fā)平臺(tái)適合用于大部分的企業(yè)級(jí)web應(yīng)用的開(kāi)發(fā)，尤其適合企業(yè)信息管理系統(tǒng)（MIS）、企業(yè)資源計(jì)劃系統(tǒng)（ERP）、客戶關(guān)系管理系統(tǒng)（CRM），業(yè)務(wù)支撐系統(tǒng)（BSS）等。并且就一些經(jīng)典的項(xiàng)目案例提取整合出各種類(lèi)型的項(xiàng)目模板，共享給開(kāi)發(fā)者參考，開(kāi)發(fā)者可以在原有的項(xiàng)目基礎(chǔ)上進(jìn)行修改定制，以打造其個(gè)性化的企業(yè)信息化平臺(tái)。

好了，今天的文章分享到這就結(jié)束了，要是喜歡的朋友，請(qǐng)點(diǎn)個(gè)關(guān)注哦！–我是簡(jiǎn)搭(jabdp)，我為自己“帶鹽”，感謝大家關(guān)注