灵魂拷问：低代码安全可靠吗？

在一篇名为《低代码和无代码开发的4个安全问题》的文章中，作者ChrisHughes指出，“通过允许企业中更多的人开发应用程序，低代码开发会产生新的漏洞并隐藏安全问题。”我不同意这种说法。具体来说，低代码或无代码解决方案本身并没有安全或不安全的地方。所有应用程序开发框架、系统、流程和策略（手动或自动）都与企业为确保它们的安全而进行的投资一样安全。是的，减少组织中可以构建应用程序的人数会降低应用程序出现安全漏洞的可能性。但是，使用该逻辑，保护您的应用程序的最佳方法是缩减工程团队的规模，从而开发更少的应用程序。更少的应用程序意味着来自这些应用程序的安全问题更少。虽然这是一个真实的陈述，但它不是一个实用的方法。这是限制应用程序开发的视图。一个好的CSO会鼓励组织的成长，而不是扼杀它。是的，更大、发展更快的组织需要处理更棘手的安全问题。通过专注于限制组织可以构建的内容来提高应用程序安全性并不是有效的CSO为公司成功做出贡献的方式。最好的CSO会找到一种方法来解决增长机会中固有的安全问题。低代码也是如此。您的公司可以通过让所谓的公民开发人员构建和扩展对企业有用的应用程序来发展壮大。CSO和IT领导团队的其他成员应该专注于通过为您的公民开发人员提供高质量、可靠和安全的低代码开发平台来使它变得更容易。这是避免安全漏洞的最佳方法。你怎么做与其反对使用低代码开发工具，不如努力将企业级低代码开发工具引入你的公司，让用户了解他们的工作方式，并鼓励他们使用。然后，同时努力确保这些工具所提供的环境是安全可靠的。这种将低代码放在首位和中心并鼓励在CSO、安全部门和其他企业IT组织的职权范围内使用它的策略，而不是贬低低代码开发，将使您的公司发展壮大。这种增长利用公民开发人员的价值来加强、提高和倍增其他开发组织的价值。低代码只是另一种工具回想一下计算的早期，当时开发人员使用汇编语言或机器语言编写程序。用这些低级语言进行开发很困难，需要有经验的开发人员来完成最简单的任务。如今，大多数软件都是使用Java、Ruby、JavaScript、Python和C++等高级编程语言开发的。为什么？因为这些高级语言使开发人员更容易编写更强大的代码并专注于更大的问题，而不必担心机器语言编程的低级复杂性。如下图所示，高级编程语言的出现增强了机器和汇编语言的编程能力，一般来说，可以用更少的代码完成更多的工作。这被认为是向前迈出的一大步，可以更快地实现更大更好的应用程序。软件开发仍然是一项高度专业化的任务，需要高度专业化的技能和技术。但更多的人可以学习这些语言，软件开发人员的队伍不断壮大。高效软件开发人员的时代诞生了。最终，开发人员开始编写更大、更复杂的应用程序。他们开始创建编程平台、框架和工具集，以提高他们的开发能力。ASP.NET、RubyonRails、jQuery、Spring和React.js等框架使开发人员可以更轻松地构建更高级别的应用程序。然后，SaaS和云服务为开发人员的武器库添加了更多功能。所有这些更高级的工具和服务，如下图所示，增强了开发体验并延续了用更少的代码做更多的事情的趋势。这是向前迈出的一大步，可以更快地实施更复杂的应用程序。不仅更容易构建高价值的应用程序，而且成为熟练的开发人员所需的培训也更少。更少的培训意味着更多的软件开发人员可用。SaaS和基于云的应用程序时代诞生了。时代在进步，开发人员开始编写更大、更复杂的应用程序。人工智能和机器学习功能开始受到关注，低代码和无代码工具提高了开发人员构建更复杂应用程序的能力。如下图所示，这些工具增强了其他开发工具的功能，延续了用更少的代码做更多事情的趋势。他们还向经验不足的开发人员开放开发。现在，没有经过直接、密集的开发人员培训的人也可以构建执行高级任务的应用程序。公民开发者的时代诞生了。公民开发者从根本上来说并没有什么新的或新颖的。这只是软件开发人员角色演变的最新迭代。在这个软件开发之旅中，与之前的任何其他开发改进相比，低代码或无代码的危险性更高或更低、更安全或更少、更有用或更低。说低代码和无代码工具从根本上说比早期的工具更不安全、更不实用或更不安全，这是虚伪的。它们是一套不断发展的工具，所有企业都需要并将在我们前进时依赖它们。低代码应该被信任如果低代码与其他开发环境的改进没有什么不同，那么为什么会有如此多的反对低代码的炒作呢？这并不罕见，也不意外。在他们的时代，每个新层都面临着同样的阻力。不久之前，我们“不敢”考虑用于企业IT的云计算，或用于正式企业应用程序的React。我仍然记得那些日子，当时Java是唯一被认为对企业IT开发足够安全的语言。还在担心低代码会导致影子IT？好吧，不久之前，云计算还被认为是影子IT，或者像RubyonRails或React这样的“新奇平台”只能用于非官方应用程序。低代码、无代码和AI辅助开发工具将继续存在，并且它们的重要性将继续增长。企业IT部门和企业安全部门将落后于时代，除非他们伸出援手并帮助推动这些平台向前发展，而不是阻止它们并希望它们消失。如果处理得当，低代码不会对任何其他平台、系统或开发环境造成额外的安全风险。它不会为您带来更多的运营风险或难以控制的成本。关键是处理得当。如果允许低代码成为影子IT的工具，它就会变得与任何其他影子IT项目一样不安全。如果允许低代码变得不受监控和不受控制，它就会变得像任何其他不受监控和不受控制的过程一样不安全。低代码开发工具和平台已经成熟到可以信任的程度。当使用来自知名供应商的高质量企业级低代码系统时尤其如此。原标题：低代码安全可靠吗？作者：李艾奇逊