Gartner还预测,尽管削减了预算并努力优化成本,但大流行期间远程开发的激增将继续推动低代码的采用。低代码开发在开发者社区中的流行Low-code已经不再是一个新概念。从简单的仪表板到复杂的应用程序,低代码应用程序正变得越来越多样化,并在企业界得到广泛采用。从本质上讲,低代码是应用程序开发的一种可视化范式,涉及拖放预构建的组件和集成,从而实现快速、简单且不易出错的开发。低代码的优势在于它可以让非传统开发背景的用户参与到应用程序的开发过程中,从而降低进入门槛,加快项目进度。随着组织以有限的资源和稀缺的开发人员满足不断增长的数字需求,这也缩小了供需差距。与传统的开发范式相比,低代码平台的出现使得泛开发者(如业务分析师、业务线用户、初级开发者)可以轻松构建应用程序,同时大大缩短了交付时间。但泛开发人员的生产力和速度并不是低代码开发的唯一好处。如今,低代码开发平台还具有专为专业开发人员构建的功能,从企业IT团队到ISV。这些平台经过强化以供企业使用,能够利用复杂应用程序的可扩展性和安全性需求,并且具有足够成熟的集成,可以与现有工具和技术无缝协作。在疫情爆发期间,许多企业通过采用低代码平台和应用程序进行重塑,帮助他们适应突然转向远程工作场景以及随之而来的必要的现代应用程序需求。低代码和远程工作带来的安全挑战与传统开发相比,低代码涉及各种角色共同构建应用程序,同时处理自动生成的代码、开箱即用的组件和内置的默认配置。这种环境变化揭示了一些需要解决的独特挑战。基于低代码构建的远程团队面临一些常见的安全挑战。应用程序开发和远程团队协作缺乏安全意识:许多低代码工具的用户来自商业背景,一些人不熟悉应用程序安全最佳实践,缺乏对潜在漏洞和安全漏洞的认识和理解。平台访问和管理控制:低代码集中部署,整个企业的用户都可以通过浏览器访问。这会产生网络入侵的风险。比如向未经授权的开发者提供访问权限,以及在远程访问平台时为不需要的用户提供更大的权限。代码存储库和团队协作:低代码平台必须确保自动生成的代码可以提交到企业批准的存储库。这种代码访问不应被滥用,并且应该有用于代码控制和升级的协议。代码生成和DevSecOps最佳实践保护自定义代码:低代码工具允许编写自定义代码以扩展和执行平台编码准则和设计模式,以保护敏感数据免遭未经授权的访问。遵循安全发布实践:与现有企业CI/CD管道集成非常重要,这样开发团队可以将相同的发布管理协议扩展到生产前自动生成的代码。应用程序访问和数据保护可防止恶意攻击:如今,Web和移动应用程序越来越成为安全漏洞的目标。自动生成的代码和公民开发人员远程工作的能力可以使低代码应用程序更容易受到漏洞的攻击。该平台应生成完全免受网络钓鱼攻击、SQL注入、暴力攻击和DOS攻击的应用程序。保护数据和应用程序访问:低代码平台应提供全面的访问控制机制,以防止未经授权访问数据和应用程序功能。随着远程团队随时随地从任何设备访问应用程序,可以通过适当的控制来防止数据泄露。低代码和安全性——发展的未来随着企业和ISV转向低代码以实现更重要的业务目的,更大的问题仍然存在。低代码平台能否使现代开发团队更快地交付应用程序,同时仍能提供安全且严格控制的环境?答案是,是的,他们可以!但是,开发团队在考虑低代码平台Checklist时必须考虑以下安全性:1.所选的低代码平台必须建立在企业的安全DMZ或安全私有云中,并且必须毫不费力地通过网络安全检查。2.平台必须对自动生成的代码以及开发人员编写的自定义代码实施最佳编程实践(编码约定、设计模式和数据加密),以简化与现有CI/CD流程和工具的集成。3.平台必须针对Web和移动应用程序的十大OWASP漏洞提供全面的防护,并具有第三方认证以确保代码质量和安全性。此外,组织应确保所选平台的二进制文件没有漏洞,以及CVE库中列出的所有第三方依赖项,包括开源库。4.该解决方案必须支持多个身份验证提供程序(数据库、LDAP、AD、SSO、SAML、Open-ID、多因素、生物识别)以构建具有强大用户安全性的应用程序。对于用户授权,请确保同时支持粗粒度和细粒度访问控制策略,以保护基于RBAC的应用程序的各个方面。开发团队可以采用低代码技术,同时确保适当的安全最佳实践。低代码将继续存在,借助合适的平台,企业和ISV可以确保安全性在开发过程的早期由开发人员左移和解决。其结果是高效的远程劳动力生产现代、可扩展和安全的应用程序。
