在一篇題為《低代碼和無代碼開發的4個安全問題》的文章中,作者 Chris Hughes 表示,“通過允許企業中更多的人開發應用程序,低代碼開發會產生新的漏洞,并在安全性方面隱藏問題。”
我并不同意這個說法。具體來說,低代碼或無代碼解決方案本身并沒有什么安全或不安全的地方。所有應用程序開發框架、系統、流程和策略(手動或自動)的安全性與企業為確保它們安全所做的投資一樣。
是的,減少組織中能夠構建應用程序的人數會降低應用程序存在安全漏洞的可能性。但是,使用該邏輯,確保應用程序安全的最佳方法是減少工程團隊的規模,從而減少開發的應用程序。應用程序越少,來自這些應用程序的安全問題就越少。雖然這是一個真實的陳述,但它卻不是一個切實可行的方法。
這是一個限制應用程序開發的觀點。一個好的 CSO 會鼓勵組織的發展,而不是扼殺它。是的,一個規模更大、發展更快的組織需要處理更棘手的安全問題。通過專注于限制組織可以構建的內容來提高應用程序安全性并不是有效的 CSO 為公司成功做出貢獻的方式。最好的CSO會找到一種方法來解決增長機會中固有的安全問題。
低代碼的情況也是如此。通過使所謂的公民開發者能夠建立和擴展對企業有用的應用程序,你的公司能夠實現增長。CSO和IT領導團隊的其他成員應該專注于通過提供高質量、可靠和安全的低代碼開發平臺讓你的公民開發者利用,從而使其更容易。這是避免安全漏洞的最好方法。
你是怎樣做的?與其反對使用低代碼開發工具,不如努力將企業級的低代碼開發工具引入你的公司,使用戶能夠了解它們是如何工作的,并鼓勵他們使用。然后,在同一時間,努力確保這些工具提供的環境是安全和可靠的。
這個策略不是把低代碼開發降級,而是把低代碼放在首位和中心,鼓勵在CSO、安全部門和其他企業IT組織的職權范圍內使用,這將使你的公司成長。這種增長利用了公民開發者隊伍的價值,從而加強、提高和倍增了其他開發組織的價值。
低代碼只是另一種工具
回想一下計算機的早期,當開發者用匯編語言或機器語言編寫程序時。用這些低級語言開發是很困難的,需要經驗豐富的開發人員來完成最簡單的任務。今天,大多數軟件是用高級編程語言開發的,如Java、Ruby、JavaScript、Python和C++。為什么呢?因為這些高級語言使開發人員能夠更容易地編寫更強大的代碼,并專注于更大的問題,而不必擔心機器語言編程的低級錯綜復雜的問題。
如下圖所示,高級編程語言的到來增強了機器和匯編語言編程,一般來說,可以用較少的代碼完成更多的工作。這被認為是一個巨大的進步,能夠更快地實現更大和更好的應用。軟件開發仍然是一項高度專業化的任務,需要高度專業化的技能和技術。但更多的人可以學習這些語言,軟件開發人員的隊伍也在不斷壯大。高效軟件開發人員的時代誕生了。
最終,開發人員開始編寫更大、更復雜的應用程序。他們開始創建編程平臺、框架和工具集來提高他們的開發能力。ASP.NET、Ruby on Rails、jQuery、Spring和React.js等框架使開發者能夠更容易地構建更高級別的應用程序。然后,SaaS和云服務為開發者的武器庫增加了更多的能力。
所有這些更高級的工具和服務,如下圖所示,增強了開發經驗,并繼續保持了用更少的代碼完成更多的工作的趨勢。這是一個巨大的進步,能夠更快地實現更復雜的應用程序。構建高價值的應用程序不僅更容易,而且還需要更少的培訓來成為一個熟練的開發人員。更少的培訓意味著有更多的軟件開發人員可用。SaaS和基于云的應用程序的時代誕生了。
時代在前進,開發人員已經開始編寫更大、更復雜的應用程序。人工智能和機器學習能力開始受到重視,低代碼和無代碼工具提高了開發者構建更復雜的應用程序的能力。如下圖所示,這些工具增強了其他開發工具的能力,延續了讓更少的代碼完成更多工作的趨勢。它們還向經驗不足的開發者開放了開發。現在,沒有接受過直接的、集中的開發者培訓的人也可以建立執行高級任務的應用程序。公民開發者的時代誕生了。
公民開發者并沒有什么根本性的新的或新穎的東西。它只是軟件開發者角色演變中的最新迭代。在這個軟件開發的進程中,沒有任何東西使低代碼或無代碼比之前的任何其他開發改進更危險或更少,更安全或更少,更有用或更少。
說低碼和無碼工具從根本上說比早期的工具更不安全、更不有用或更不安全是虛偽的。它們是一套不斷發展的工具,在我們前進的過程中,所有的企業都需要并將依賴這些工具。
低代碼應被信任
如果低代碼與其他開發環境的改進沒有區別,那么為什么會有這么多反對低代碼的炒作呢?
這并不罕見,也不意外。在他們的時代,每一個新的層次都面臨著同樣的阻力。不久前,我們還 "不敢 "考慮將云計算用于企業IT,或考慮將React用于一個嚴肅的企業應用。我還記得那些日子,Java是唯一被認為對企業IT開發足夠安全的語言。
還有人擔心低代碼會導致影子IT?好吧,不久之前,云計算被認為是影子IT,或者像Ruby on Rails或React這樣的 "新的和新穎的平臺 "只能用于非官方的應用。
低代碼、無代碼和人工智能輔助的開發工具將繼續存在,而且它們的重要性將繼續增長。企業IT部門和企業安全部門將落后于時代,除非他們向前伸手,幫助推動這些平臺的發展,而不是拖后腿,希望它們消失。
如果處理得當,低代碼不會對任何其他平臺、系統或開發環境造成額外的安全風險。它不會給你帶來更多的運營風險或無法管理的成本。關鍵是要妥善處理。如果允許低代碼成為影子IT的載體,那么它就會像任何其他影子IT項目一樣不安全。如果允許低代碼變得不受監視和不受控制,那么它就會像任何其他不受監視和不受控制的進程一樣不安全。
低代碼開發工具和平臺已經成熟到可以信任的程度。在使用成熟供應商提供的高質量企業級低代碼系統時更是如此。
原標題:??Is low-code safe and secure???
原作者:Lee Atchison
