低代码与无代码开发四个安全隐患

1、本文格式为Word版，下载可任意编辑 低代码与无代码开发四个安全隐患 下面是我为大家整理的低代码与无代码开发四个安全隐患,供大家参考。 第 1 页 共 8 页 低代码与无代码开发的四个安全隐患 目录 前言 1 1. 何为低代码/无代码开发？ 2 1.1. 低代码/无代码应用的低可视性 2 1.2. 担心全的代码 2 1.3. 无法监管的影子 IT 3 1.4. 业务中断 3 2. 了解低代码的得失与前景 3 2.1. 什么是低代码平台 3 2.2. 举个例子 4 2.3. 为何说低代码模式前途难料？ 5 2.3.1. 专业度问题 5 2.3.2. 成本 5 2.3.3. 通用性问题 6 2.3

2、.4. 低代码平台的未来可能性 6 2.3.5. 工具化 6 2.3.6. 更高维的智能中台 6 3. 降低低代码/无代码平台风险的一些建议 7 4. 数世点评 7 前言 低代码/无代码平台的例子包括 Salesforce Lightning、FileMaker、Microsoft PowerApps 和 Google App Maker。这些平台有四个对比重要的安全顾虑。 如今，一股全民开发者的风潮正在兴起，由非开发人员对应用进行开发和创造。寻常，这种模式由低代码或者无代码框架辅助进行。这些框架和工具允许非开发人员通过 GUI 抓取或者移动组件，创立规律友好的业务应用。 第 2 页 共 8

3、页 让更多的 IT 人员和业务社群创立应用来驱动业务价值，有十分明显的吸引力。但这不代表低代码和无代码平台本身没有安全问题。就像其他软件产品一样，开发平台和其相关代码的安全问题，不容忽略。 1. 何为低代码/无代码开发？ 无代码工具和平台通过一个抓取和放下的界面，让像商业分析师这样的非程序员能够创立和修改应用。在某些状况下，还是需要一些代码能力（低代码）和其他应用进行整合，或者生成报告和修改用户界面等功能。这寻常会用像 SQL 或者 Python 这样的高级语言实现。 低代码/无代码平台的例子包括 Salesforce Lightning、FileMaker、Microsoft PowerAp

4、ps 和 Google App Maker。这些平台有四个对比重要的安全顾虑。 1.1. 低代码/无代码应用的低可视性 使用外部开发的平台总是会有可视性问题。企业只是在使用软件，但不知道源代码是怎样的、相关的安全隐患或者平台已经完成的测试状况和出现的问题。 这个问题可以通过向供给商索要一份 SBOM（软件物料清单）来缓解。SBOM 能够提供关于其所有的软件组件信息以及其相关漏洞。SBOM 的使用数量正在上升，最近 Linux Foundation 的研究显示，78%的组织计划在 2022 年使用SBOM。这表示，SBOM 的使用正在渐渐成熟，行业对操作、流程和工具还有很大的优化空间。 1.2.

5、 担心全的代码 和可视性相对应的是代码的安全性问题。低代码和无代码平台依旧会有代码存在：只不过这些是抽象的代码，让终端用户可以直接使用预设的代码功能。这对非开发者来说无疑是一个福音，由于他们不必再自己写代码了。但是问题就在，使用的代码可能是担心全的，并且可能会通过低代码和无代码平台跨组织、跨应用进行传播。 解决方式之一是和平台供给商合作，要求平台中使用代码的安全扫描结果。SAST 和 DAST 的扫描结果能够给客户一定的保证，确保他们不是在复制那些担心全的代码。在组织操纵之外创立的代码不是什么新鲜事，在开源软件大 第 3 页 共 8 页 量使用的时代十分常见。有近 98%的组织使用开源代码，同

6、时还伴随着如基础设施即代码（infrastructure-as-code, IaC）模板等其他供给链相关要挟。 另一个需要考虑的方面，在于大量低代码和无代码平台寻常都是 SaaS 化提供。这就需要向供给商要求像 ISO、SOC2、FedRAMP 等其他行业证明。这些能够给组织的运营和安全操纵提供更进一步的保障。 SaaS 应用本身也会浮现出大量安全风险，需要适当的治理和安全操纵。假如对使用的 SaaS 应用和平台不进行管制，组织就可能会暴露在风险之下。假如低代码和无代码平台开发的应用会暴露组织或者客户的敏感数据，就会加剧这种风险。 1.3. 无法监管的影子 IT 由于低代码和无代码平台允许没有

7、开发背景的人快速创立应用，这就会导致影子 IT 泛滥。影子 IT 在业务部门和人员创立的应用同时暴露在内部和外部的时候发生。这些应用可能有组织、客户或者监管的敏感数据，从而一旦发生泄漏事件，就会对组织形成一系列的负面影响。 1.4. 业务中断 从业务连续性角度看，依靠低代码和无代码平台的服务可能在平台发生中断时，打断自身的业务。组织需要和包括低代码和无代码平台的供给商，为业务关键应用建立 SLA。 2. 了解低代码的得失与前景 2.1. 什么是低代码平台 Low Code （低代码）是相对于 All Code（高代码）和 No Code（无代码）的一个中间概念。 低代码寻常强调的是用户不需要学

8、习如何写代码，就可以完成写代码就能完成的工作。国内对比著名的低代码平台有阿里的宜搭，腾讯的云微搭，简道云、明道云等，国外有 Mendix，OutSystems、微软、Google、Amazon 等。 低代码寻常解决的问题，是用户无代码能力，却希望能够创立网站、网页、APP、小程序等应用或服务，内容包含但不限于报表、数据分析、业务流程流转、宣传页面等。 第 4 页 共 8 页 2.2. 举个例子 举一个最简单的例子：LandingPage 着陆页。 寻常，一个完整的着陆页的工作，包含 UE 设计、UIUX 设计、前端开发、后端开发、服务器资源购买等工作。理论上至少需要产品经理、设计师、前端工程师

9、、后端工程师等人员一起进行开发，属于高代码模式。 当你没有开发能力，但拥有设计能力的时候，将设计师的元素，通过低代码平台，进行规律梳理、页面配置、元素插入、数据绑定，得到想要的页面效果或产品，这属于低代码模式。 当你既没有开发也没有设计能力时，可以运用平台提供的模板，进行一定程度的修改，得到想要的页面效果或产品，这属于无代码模式。 所以当面临选择的时候，如何评估什么时候该用什么平台呢？ 第 5 页 共 8 页 2.3. 为何说低代码模式前途难料？ 2.3.1. 专业度问题 社会分工告诉我们，专业的人做专业的事。低代码平台并非无代码平台，仍旧需要程序编写和软件思维，需要一定的规律能力，从这个角度

10、讲，低代码平台操作员最好是程序员。 而从业务角度上，自己的业务自己负责，产品经理或者负责人操作低代码平台，才有可能以最快的速度做出想要的产品或服务。从这个角度讲，低代码平台操作员最好是业务人员。 然而由于过往的业务拆分得足够细致，人才市场对人员的专业度要求确定与工资相匹配，无论是程序员还是业务人员，都会将一心使用低代码平台看做是鸡肋。 而真实操作低代码平台的操作员寻常是实习生或打杂的同事，一定程度上低代码操作员是没有太多专业性可言的，对职业发展并无太多好处。那么使用低代码将是更多人相对排斥的工作。 2.3.2. 成本 低代码平台的学习成本，理论上低于高代码平台，高于无代码平台；运营成本则高于搞

11、代码平台，低于无代码平台。 这种高不成低不就的问题，也正是其钱途难料的原因之一。事实上类似外包公司的团队，虽然有低代码的需求（降低人员成本），但由于无代码平台也有好多并且也十分好用、成本更低、速度更快，所以这部分市场也是受到挤压的。 第 6 页 共 8 页 2.3.3. 通用性问题 通用性问题是摆在低代码平台上几乎是难以迈过的坎。 除了阿里、腾讯、字节这种巨头，能够通过自身生态找到需求，提供低代码通用性解决方案以外，其他大多数低代码厂商拿到 B 单，十有八九要有一定量的特性化定制，终究国情和市场环境决定了 B 端需求方的主导地位。 而特性化定制带来的问题，不仅仅是开发问题，还有长期维护问题。由

12、于低代码平台还是没有逃脱代码要求的思维方式，无论是产品通用性还是版本通用性，都对产品开发方是一个很大的考验。 2.3.4. 低代码平台的未来可能性 2.3.5. 工具化 低代码平台对于有代码能力的高级程序员来说，可以通过工具化来解放生产力。 在人员成本越来越高的当下，国内出现众多以 IT 服务为主的自由职业者或小型工作室。低代码是否能够更极致的打通上下游环节，降低使用和维护成本，赢得生产者们的信赖，是未来能否赢得市场的一个重点。 2.3.6. 更高维的智能中台 低代码一定不是最直戳人心的卖点，甚至无代码也不是，成本、速度、效果才是。 是否会出现人工智能的中台，如 Copilot 之于开发者，以

13、专业的角度看不是不可能，不是不可以，甚至应当是存在的。而这样的中台，估计还是会出现 第 7 页 共 8 页 在巨头的平台上，终究丰富的使用场景和代码储存，是这样高维 AI 的营养来源。 程序员会由于低代码而失业么？可能到那时，代码能力会成为义务教育的一部分，终究人类的创造力在机器这个载体上的发展，貌似才刚刚开始。 3. 降低低代码/无代码平台风险的一些建议 一些常见的安全最正确实践都能够缓解上述的风险，无论涉及的相关技术有哪些。这些最正确实践包括： 从有行业声望的可信供给商处购买软件和平台。 确保这些供给商有第三方认证资质，以证明他们内部安全的实践和流程。 对自身应用和软件库中的低代码和无代码

14、平台负责，包括他们生产的应用。 维持良好的准入操纵，知道谁接入了平台，以及他们被允许进行的活动。 实施数据安全实践，理解关键数据在哪，以及通过低代码和无代码平台创立的应用是否存有这些敏感数据。 知道低代码和无代码平台在哪部署。这些平台是在一个像 AWS、谷歌或者微软这样的全球混合型云服务商部署，还是在一个合法的本地数据中心部署？ 思考企业的安全文化也同样重要。尽管说平台本身的使用者不一定是开发者或者安全人员，他们依旧应当理解他们使用和创立的应用与低代码/无代码平台的安全隐患。力量越大，责任越大，这一点在低代码和无代码平台上也一样。 4. 数世点评 企业总是以业务为优先这是必然的。当业务人员自己有能力开发应用的时候，无疑会大大减少因沟通