近98%的组织使用开源代码,以及其他与供应链相关的威胁,例如基础设施即代码(IaC)模板。另一个需要考虑的方面是,许多低代码和无代码平台通常作为SaaS提供。这需要向供应商索取其他行业认证,如ISO、SOC2、FedRAMP等。这些可以为组织的运营和安全控制提供进一步的保证。SaaS应用程序本身也存在许多安全风险,需要适当的治理和安全控制。如果不对所使用的SaaS应用程序和平台进行监管,组织可能会面临风险。如果在低代码和无代码平台上开发的应用程序暴露敏感的组织或客户数据,这种风险会加剧。3.不受监管的影子IT由于低代码和无代码平台允许没有开发背景的人快速创建应用程序,这将导致影子IT的扩散。当业务部门和人员创建的应用程序在内部和外部暴露时,就会出现影子IT。这些应用程序可能包含组织、客户或监管机构的敏感数据,因此一旦发生泄漏,将对组织产生一系列负面影响。4.业务中断从业务连续性的角度来看,依赖于低代码和无代码平台的服务可能会在平台中断时中断自身的业务。组织需要并包括低代码和无代码平台的供应商来为关键业务应用程序建立SLA。降低低代码/无代码平台风险的一些技巧一些常见的安全最佳实践可以降低上述风险,无论涉及何种技术。这些良好做法包括从具有行业声誉的可信赖供应商处购买软件和平台。确保这些供应商拥有第三方认证以证明其内部安全实践和流程。对他们自己的应用程序和软件库中的低代码和无代码平台负责,包括他们生产的应用程序。保持良好的访问控制,了解谁有权访问平台以及允许他们进行哪些活动。实施数据安全实践以了解关键数据的位置以及使用低代码和无代码平台创建的应用程序是否包含这些敏感数据。了解低代码和无代码平台的部署位置。这些平台是部署在AWS、Google或Microsoft等全球混合云提供商中,还是部署在合法的本地数据中心中?考虑企业的安全文化也很重要。尽管平台本身的用户不一定是开发人员或安全人员,但他们仍然应该了解他们使用和创建的应用程序和低代码/无代码平台的安全风险。“能力越大,责任越大”,低代码和无代码平台也是如此。评论企业总是把企业放在首位——这是肯定的。当业务人员具备开发应用的能力时,无疑会大大降低沟通成本和潜在的团队不和谐。但是,使用第三方平台难免会在软件供应链中产生隐患。本文针对低代码/无代码平台中潜在的安全隐患提出了一些预防措施,但仔细观察,仅靠预防是不够的。一旦第三方平台出现安全漏洞,业务团队和安全团队如何修复和解决也将成为一个问题。这个时候,企业的业务运营和安全的“刹车”还是会再次发生碰撞。因此,虽然低代码、无代码平台必将成为未来企业发展的方向,但也预示着软件供应链安全体系仍有很大的发展空间。
