2021年初,和很多新技术一样,低代码(Low-code)开发被推上了“窗”:阿里云认为低代码开发将是一场“革命”;腾讯云将低代码视为一种“革命”,是一种有益的技术手段,并与Mendix(已被西门子收购)展开深度合作;高瓴、IDG、华创资本等投资机构将低代码视为投资新赛道。据统计,2020年1月至2021年8月,仅国内就有至少15家低代码平台获得了20多家主流机构的投资。以上统计数据引自《财经》报告Gartner数据显示,2020年全球低码市场规模将达到84亿美元,2021年有望突破100亿美元。到2025年,全球低码代码市场规模将达到471亿美元,复合增长率达41%,70%的新应用将由低代码或无代码技术开发。然而,低代码开发在为企业打开“方便之门”的同时,也为威胁打开了后门。企业在享受低代码系统带来的便利的同时,往往埋下了系统附带的安全问题隐患。低代码的诞生其实,通过低代码实现敏捷开发的理念早在30年前就已经萌芽。2000年代初期,欧洲出现了两家低代码初创公司——葡萄牙的Outsystems和荷兰的Mendix。他们目前也是低代码开发领域公认的先驱和领导者。只不过,在Outsystem和Mendix诞生后的很长一段时间里,该技术都被称为“敏捷开发平台”。直到2014年,研究机构ForresterResearch才正式提出低代码的定义,即一种只需很少或无需编写代码即可快速开发应用程序,并可快速配置和部署的技术和工具。如今,低代码已经从简单的仪表板发展为具有日益多样化的功能和广泛行业采用的复杂应用程序。低代码开发让企业组织看到了“降本、增效、提质”的可能性。它使非技术用户能够在数小时或数天内生成令人惊叹的业务应用程序。根据Creatio的调查结果,在接受采访的1000名开发高管中,95%的人认为低代码开发的速度较传统方法有所提升,61%的人认为开发速度提高了40%以上。可以说,低代码开发为企业降低了研发成本和人力成本,提高了效率,缩短了产品交付周期,使企业产品和服务能够以更快的速度迭代优化,在激烈的市场竞争中脱颖而出。低代码开发风险然而,作为一项不成熟的技术,机遇与挑战总是相伴而生。1.缺乏可见性公民开发者(citizendevelopers)随意构建应用程序,危害业务安全,IT部门很难追踪员工开发的应用程序,甚至有些应用程序为恶意软件和黑客提供了访问业务和客户数据的途径”后门”。过去,手动编码是由专业的IT人员和程序员团队编写、审查和测试的。虽然这个过程漫长而疲惫,但至少其遵循的内在逻辑是安全透明的。然而,低代码开发平台中的组件是“黑盒子”,其背后的逻辑并不对外展示。这些组件是否兼容和适应性尚不清楚。一旦出现问题,公司将无法排查和解决。即使进行故障排除,该过程不仅成本高昂,而且还会产生更多的“影子IT”,尤其是对于完全依赖开发人员群体的组织而言。企业将很难注意到或跟踪公民开发人员正在使用低代码构建或修改的内容。影子IT无疑会给企业增加额外成本,所有成本加起来可能比人工编码还多。2、数据可访问性(即对数据访问的权限和控制)低代码开发平台集中部署,全企业用户通过浏览器即可访问,带来网络入侵风险。就像授予未经授权的开发人员访问权限以及在远程访问中向不需要它的用户授予更大的权限一样。因此,在部署任何低代码系统之前,企业应该限制数据的可访问性。IT部门可以通过边界保护产品限制对所有关键数据的访问。此外,可以设置仅对创业者、IT团队或内部圈子开放的强安全码,任何其他需要业务信息的人都需要经过批准或验证才能获得数据,可以有效遏制影子IT。控制数据访问不仅可以帮助企业降低隐藏业务的额外成本,还可以轻松分离公共内容和私有内容,更好地保护企业内部数据,这对业务交易至关重要。3、第三方集成的风险第三方集成也带来了一定比例的安全风险,因为大多数低代码开发平台依赖第三方系统交换或传输数据,组织无法定期跟进这些数据,从而带来商业利益。高风险来了。而且,大部分第三方系统还使用了低代码功能??,比如拖拽、可视化图形等,这也给企业带来了不可控性。此外,传输风险很可能不在低代码系统和第三方平台中,而在其他代码库源中。因此,系统的任何误操作或缺陷都会使业务数据面临风险,也很容易被黑客入侵,而一旦系统遭到破坏,恢复组织系统或客户资料将极具挑战性。4、供应商体系审核存在问题。大多数低代码平台安全控制对企业或组织都是可见的。但是,一些低代码平台供应商不提供管理员访问其整体平台的权限。因此,企业首先需要使用第三方审计服务来检查安全性,例如第三方安全工具的使用、安全合规认证、服务水平协议、网络安全保险等。值得注意的是,未能提供安全细节的低代码平台可能会使组织和安全部门极度依赖第三方工具,但这些工具很可能存在缺陷,甚至非常糟糕。因此,建议组织选择在安全系统中提供透明度的低代码平台。现在,一些低代码供应商正在通过提供可访问和透明的审计方法来改进他们的服务,这样企业或组织将能够消除在第三方工具上的昂贵支出。低代码安全建议开发团队在部署低代码平台之前可以考虑以下安全建议:1.在实施低代码平台之前让IT和安全部门参与进来。IT部门、安全和开发团队对低代码平台的良好理解和分析将有助于检查平台中的漏洞及其对企业或组织的有效性。2.确保API安全。API安全性经常被组织忽视,但是,在实施低代码平台或管理任何数字资产时,API安全性至关重要。3.评估低代码供应商。一旦组织同意使用低代码平台,就需要仔细检查有关供应商的每个细节。具体如下:所选用的低代码平台必须搭建在企业安全的DMZ或私有云中,且必须顺利通过网络安全审查;优化编程实践(编码约定、设计模式和数据加密)以简化与现有CI/CD流程和工具的集成;该平台必须提供针对Web和移动应用程序Top10OWASP漏洞的全面保护,并具有代码质量和安全性的第三方认证。此外,组织应确保所选平台的二进制文件和CVE库中列出的任何第三方依赖项(包括开源库)中没有漏洞;该解决方案必须支持提供多种身份验证程序(数据库、LDAP、AD、SSO、SAML、Open-ID、多因素、生物识别),以构建具有强大用户安全性的应用程序。对于用户授权,确保同时支持粗粒度和细粒度的访问控制策略,以保护基于RBAC的应用程序的所有方面。真正的低代码平台必须能够覆盖软件开发的整个生命周期,实现工业级的效率提升。我们期待在已经成熟的软件开发领域发生一场生产力革命。
