低代碼開發會帶來安全風險嗎?
Gartner 還預測,在疫情期間遠程開發的激增將繼續推動低代碼的采用,盡管削減了預算并努力優化了成本。
低代碼開發在開發者群體中的受歡迎程度
低代碼早已不再是新鮮的概念。從簡單的儀表板到復雜的應用程序,低代碼應用程序正變得越來越多樣化,并在企業界得到了廣泛的采用。從本質上講,低代碼是應用程序開發的一種可視化范例,它涉及拖放預構建的組件和集成,從而實現了快速,輕松且不易出錯的開發。
低代碼的優勢在于,它使非傳統開發背景的用戶能夠參與應用程序開發過程,從而降低開發門檻并加快項目進度。隨著組織在資源有限和開發人員稀缺的情況下滿足不斷增長的數字化需求,這也縮小了供需缺口。與傳統的開發范式相比,低代碼平臺的出現使泛開發人員(例如業務分析師,業務線用戶,初級開發人員)易于構建應用程序,同時大大縮短了交付時間。
但是,為泛開發人員提供的生產力和速度并不是低代碼開發的唯一好處。如今,低代碼開發平臺還具有專門為從企業 IT 團隊到 ISV 的專業開發人員而構建的功能。這些平臺經過強化,可用于企業用途,能夠利用復雜應用程序的可伸縮性和安全性需求,并且具有足夠成熟的集成功能,可以無縫地與現有工具和技術配合使用。
在疫情爆發期間,許多企業通過采用低代碼平臺和應用程序進行了重塑,從而幫助他們適應了突然轉移到遠程工作場景并滿足隨之而來的必要現代應用程序需求。
低代碼和遠程工作帶來的安全挑戰
與傳統開發相比,低代碼涉及各種角色,共同構建應用程序,同時處理自動生成的代碼、現成的組件和內置的默認配置。環境的這種變化揭示了一些需要解決的獨特挑戰。建立在低代碼上的遠程團隊面臨一些常見的安全挑戰。
應用程序開發和遠程團隊協作
- 缺乏安全意識:低代碼工具的用戶很多來自商業背景,一些人員不熟悉應用程序安全最佳實踐,并且對潛在的漏洞和安全漏洞缺乏認識和了解。
- 平臺訪問和管理控制:低代碼集中部署,可通過瀏覽器訪問供整個企業中的用戶使用。這帶來了網絡入侵的風險。比如為未經授權的開發人員提供訪問權限,并為遠程訪問平臺時不需要它的用戶提供更大的權限。
- 代碼存儲庫和團隊協作:低代碼平臺必須確保自動生成的代碼可以提交給企業認可的存儲庫。不應濫用此代碼訪問權限,并且應該具有適當的協議來進行代碼控制和升級。
代碼生成和 DevSecOps 最佳實踐
- 保護自定義代碼:低代碼工具允許編寫自定義代碼,以擴展和實施平臺編碼準則和設計模式,以保護敏感數據免遭未經授權的訪問。
- 遵循安全的發布慣例:與現有的企業 CI/CD 管道集成非常重要,因此開發團隊可以在生產之前將相同的發布管理協議擴展到自動生成的代碼。
應用程序訪問和數據保護
- 防止惡意攻擊:如今,Web 和移動應用程序都日益成為安全漏洞的目標。自動生成的代碼以及公民開發人員可以遠程工作,可以使低代碼的應用程序更容易受到漏洞的攻擊。平臺應生成完全受到網絡釣魚攻擊,SQL 注入,暴力攻擊和 DOS 攻擊保護的應用程序。
- 安全的數據和應用程序訪問:低代碼平臺應提供全面的訪問控制機制,以防止未經授權訪問數據和應用程序功能。通過遠程團隊隨時隨地從任何設備訪問應用程序,可以通過適當的控制來防止數據泄露。
低代碼和安全性 —— 發展的未來
隨著企業和 ISV 在更重要的業務中轉向低代碼,更大的問題仍然存在。低代碼平臺是否可以使現代開發團隊更快地交付應用程序,同時仍能實現安全且嚴格控制的環境?答案是,是的,他們可以!但是,開發團隊在考慮低代碼平臺時必須考慮以下安全檢查表:1、所選的低代碼平臺必須在企業安全的 DMZ 或安全的私有云中建立,并且必須毫不費力地通過網絡安全許可。
2、該平臺必須對自動生成的代碼以及開發人員編寫的自定義代碼實施最佳的編程實踐(編碼約
定,設計模式和數據加密),以簡化與現有 CI/CD 流程和工具的集成。
3、該平臺必須針對 Web 和移動應用程序的十大 OWASP 漏洞提供全面保護,并擁有第三方認證以保證代碼質量和安全性。此外,組織應確保所選平臺的二進制文件以及 CVE 庫中列出的所有第三方依賴項(包括開源庫)中均不存在漏洞。
4、該解決方案必須支持多個身份驗證提供程序(數據庫,LDAP,AD,SSO,SAML,Open-ID,多因素,生物識別),以構建具有強大用戶安全性的應用程序。對于用戶授權,請確保同時支持粗粒度訪問控制策略和細粒度訪問控制策略,以保護基于 RBAC 的應用程序的各個方面。
開發團隊可以采用低代碼技術,同時確保適當的安全最佳實踐。低代碼將保留下來,并且借助正確的平臺,企業和 ISV 可以確保在開發過程的早期就將安全性向左轉移并由開發人員解決。結果是高效率的遠程勞動力生產出了現代,可擴展和安全的應用程序。
