低代码与无代码开发的四个安全隐患.docx

《低代码与无代码开发的四个安全隐患.docx》由会员分享，可在线阅读，更多相关《低代码与无代码开发的四个安全隐患.docx（8页珍藏版）》请在第一文库网上搜索。

1、低代码与无代码开发的四个安全隐患目录-1Z-.1Y刖百11 .何为低代码/无代码开发？21.1. 低代码/无代码应用的低可视性21.2. 不安全的代码21.3. 无法监管的影子IT31.4. 业务中断32 .了解低代码的得失与前景32.1. 什么是低代码平台32.2. 举个例子42.3. 3.为何说低代码模式前途难料？52.3.1,专业度问题52.3.2.成本52.3.3.通用性问题62.3.4.低代码平台的未来可能性62.3.5.工具化62.3.6.更高维的智能中台63 .降低低代码/无代码平台风险的一些建议74 .数世点评71刖百低代码/无代码平台的例子包括SalesforceLightn

2、ingFileMakerMicrosoftPowerApps和GoogleAppMaker。这些平台有四个比较重要的安全顾虑。如今，一股“全民开发者”的风潮正在兴起，由非开发人员对应用进行开发和创造。通常，这种模式由低代码或者无代码框架辅助进行。这些框架和工具允许非开发人员通过GUI抓取或者移动组件，创建逻辑友好的业务应用。让更多的IT人员和业务社群创建应用来驱动业务价值，有非常明显的吸引力。但这不代表低代码和无代码平台本身没有安全问题。就像其他软件产品一样，开发平台和其相关代码的安全问题，不容忽视。1 .何为低代码/无代码开发？无代码工具和平台通过一个“抓取和放下”的界面，让像商业分析师这样

3、的非程序员能够创建和修改应用。在某些情况下，还是需要一些代码能力（低代码）和其他应用进行整合，或者生成报告和修改用户界面等功能。这通常会用像SQL或者Python这样的高级语言实现。低代码/无代码平台的例子包括SalesforceLightning、FileMaker、MicrosoftPowerApps和GoogleAppMaker。这些平台有四个比较重要的安全顾虑。1.1 .低代码/无代码应用的低可视性使用外部开发的平台总是会有可视性问题。企业只是在使用软件，但不知道源代码是怎样的、相关的安全隐患或者平台已经完成的测试情况和出现的问题。这个问题可以通过向供应商索要一份SBOM（软件物料清单

4、）来缓解。SBOM能够提供关于其所有的软件组件信息以及其相关漏洞。SBOM的使用数量正在上升，最近LinuxFoundation的研究显示，78%的组织计划在2022年使用SBOMo这表示，SBOM的使用正在逐渐成熟，行业对操作、流程和工具还有很大的优化空间。1.2 .不安全的代码和可视性相对应的是代码的安全性问题。低代码和无代码平台依然会有代码存在：只不过这些是抽象的代码，让终端用户可以直接使用预设的代码功能。这对非开发者来说无疑是一个福音，因为他们不必再自己写代码了。但是问题就在，使用的代码可能是不安全的，并且可能会通过低代码和无代码平台跨组织、跨应用进行传播。解决方式之一是和平台供应商合

5、作，要求平台中使用代码的安全扫描结果。SAST和DAST的扫描结果能够给客户一定的保证，确保他们不是在复制那些不安全的代码。在组织控制之外创建的代码不是什么新鲜事，在开源软件大量使用的时代十分常见。有近98%的组织使用开源代码，同时还伴随着如基础设施即代码（infrastructure-as-code,laC）模板等其他供应链相关威胁。另一个需要考虑的方面，在于许多低代码和无代码平台通常都是SaaS化提供。这就需要向供应商要求像ISO、SOC2、FedRAMP等其他行业证明。这些能够给组织的运营和安全控制提供更进一步的保障。SaaS应用本身也会呈现出许多安全风险，需要适当的治理和安全控制。如果

6、对使用的SaaS应用和平台不进行管制，组织就可能会暴露在风险之下。如果低代码和无代码平台开发的应用会暴露组织或者客户的敏感数据，就会加剧这种风险。1. 3.无法监管的影子IT由于低代码和无代码平台允许没有开发背景的人快速创建应用，这就会导致影子IT泛滥。影子IT在业务部门和人员创建的应用同时暴露在内部和外部的时候发生。这些应用可能有组织、客户或者监管的敏感数据，从而一旦发生泄漏事件，就会对组织形成一系列的负面影响。1.4. 业务中断从业务连续性角度看，依赖低代码和无代码平台的服务可能在平台发生中断时，打断自身的业务。组织需要和包括低代码和无代码平台的供应商，为业务关键应用建立SLA。2.了解低

7、代码的得失与前景2.1. 什么是低代码平台LowCode（低代码）是相对于AllCode（高代码）和NoCode（无代码）的一个中间概念。低代码通常强调的是用户不需要学习如何写代码，就可以完成写代码就能完成的工作。国内比较有名的低代码平台有阿里的宜搭，腾讯的云微搭，简道云、明道云等，国外有Mendix,OutSystems微软、GoogleAmazon等。低代码通常解决的问题，是用户无代码能力，却希望能够创建网站、网页、APP、小程序等应用或服务，内容包含但不限于报表、数据分析、业务流程流转、宣传页面等。无代码平台1(NoCode)低代码平台(LowCode);高代码(AllCode)不需耍代

8、码能力能实现产品功能或内容设定需要逻MUBiM力选择代码对成的功能细节家现产出和功能需费代码施力通过代码实现产品和功能2.2.举个例子举一个最简单的例子：LandingPage着陆页。通常，一个完整的着陆页的工作，包含UE设计、UIUX设计、前端开发、后端开发、服务器资源采购等工作。理论上至少需要产品经理、设计师、前端工程师、后端工程师等人员一起进行开发，属于高代码模式。当你没有开发能力，但拥有设计能力的时候，将设计师的元素，通过低代码平台，进行逻辑梳理、页面配置、元素插入、数据绑定，得到想要的页面效果或产品，这属于低代码模式。当你既没有开发也没有设计能力时，可以运用平台提供的模板，进行一定程

9、度的修改，得到想要的页面效果或产品，这属于无代码模式。所以当面临选择的时候，如何评估什么时候该用什么平台呢？2. 3.为何说低代码模式前途难料？2. 3.1.专业度问题社会分工告诉我们，专业的人做专业的事。低代码平台并非无代码平台，依旧需要程序编写和软件思维，需要一定的逻辑能力，从这个角度讲，低代码平台操作员最好是程序员。而从业务角度上，自己的业务自己负责，产品经理或者负责人操作低代码平台，才有可能以最快的速度做出想要的产品或服务。从这个角度讲，低代码平台操作员最好是业务人员。然而由于过往的业务拆分得足够细致，人才市场对人员的专业度要求肯定与工资相匹配，无论是程序员还是业务人员，都会将专心使用

10、低代码平台看做是鸡肋。而真实操作低代码平台的操作员通常是实习生或打杂的同事，一定程度上低代码操作员是没有太多专业性可言的，对职业发展并无太多好处。那么使用低代码将是更多人相对排斥的工作。3. 3.2.成本低代码平台的学习成本，理论上低于高代码平台，高于无代码平台；运营成本则高于搞代码平台，低于无代码平台。这种高不成低不就的问题，也正是其钱途难料的原因之一。事实上类似外包公司的团队，虽然有低代码的需求（降低人员成本），但由于无代码平台也有很多并且也非常好用、成本更低、速度更快，所以这部分市场也是受到挤压的。无代码平台(NoCode )学习成本低使用it护成本高可旷震性福低代码平台(LowCode

11、 )高代码(All Code)中高中低中高2. 3.3.通用性问题通用性问题是摆在低代码平台上几乎是难以迈过的坎。除了阿里、腾讯、字节这种巨头，能够通过自身生态找到需求，提供低代码通用性解决方案以外，其他大多数低代码厂商拿到B单，十有八九要有一定量的个性化定制，毕竟国情和市场环境决定了B端需求方的主导地位而个性化定制带来的问题，不仅仅是开发问题，还有长期维护问题。由于低代码平台还是没有逃脱代码要求的思维方式，无论是产品通用性还是版本通用性，都对产品开发方是一个很大的考验。2.3. 4.低代码平台的未来可能性2.3.5,工具化低代码平台对于有代码能力的高级程序员来说，可以通过工具化来解放生产力。

12、在人员成本越来越高的当下，国内出现众多以IT服务为主的自由职业者或小型工作室。低代码是否能够更极致的打通上下游环节，降低使用和维护成本，赢得生产者们的信赖，是未来能否赢得市场的一个重点。2.3.6.更高维的智能中台低代码一定不是最直戳人心的卖点，甚至无代码也不是，成本、速度、效果才是。是否会出现人工智能的中台，如Copilot之于开发者，以专业的角度看不是不可能，不是不可以，甚至应该是存在的。而这样的中台，估计还是会出现在巨头的平台上，毕竟丰富的使用场景和代码储备，是这样高维AI的营养来源。程序员会因为低代码而失业么？也许到那时，代码能力会成为义务教育的一部分，毕竟人类的创造力在机器这个载体上

13、的发展，似乎才刚刚开始。3 .降低低代码/无代码平台风险的一些建议一些常见的安全最佳实践都能够缓解上述的风险，无论涉及的相关技术有哪些。这些最佳实践包括：从有行业声望的可信供应商处购买软件和平台。确保这些供应商有第三方认证资质，以证明他们内部安全的实践和流程。对自身应用和软件库中的低代码和无代码平台负责，包括他们生产的应用。维持良好的准入控制，知道谁接入了平台，以及他们被允许进行的活动。实施数据安全实践，理解关键数据在哪，以及通过低代码和无代码平台创建的应用是否存有这些敏感数据。知道低代码和无代码平台在哪部署。这些平台是在一个像AWS、谷歌或者微软这样的全球混合型云服务商部署，还是在一个合法的

14、本地数据中心部署？思考企业的安全文化也同样重要。尽管说平台本身的使用者不一定是开发者或者安全人员，他们依然应该理解他们使用和创建的应用与低代码/无代码平台的安全隐患。“力量越大，责任越大”，这一点在低代码和无代码平台上也一样。4 .数世点评企业总是以业务为优先一一这是必然的。当业务人员自己有能力开发应用的时候，无疑会大大减少因沟通产生的成本以及潜在的团队不和谐问题。但是，运用第三方平台也必然会产生软件供应链的隐患。文章提出了一些预防低代码/无代码平台中潜在的安全隐患，但是，进一步来看，仅仅预防是不够的。一旦第三方平台出现安全漏洞，业务团队和安全团队如何去修复和解决同样会成为问题，企业的业务运作和安全的“刹车”在这个时候依然会再次碰撞。因此，低代码和无代码平台尽管说必然是未来企业发展的方向，但是同样也预示着软件供应链安全体系依然有极大的发展空间。第8页共8页