低代码开发会带来安全风险吗？

凯特-孟凡荣

根据 Gartner 的数据，2021 年全球低代码开发市场达到 138 亿美元，比 2020 年增长 22.6%。Gartner 还预测，COVID-19 期间远程开发的激增将继续推动低代码的采用，尽管消减了预算并努力优化了成本。
低代码在开发者群体中的受欢迎程度
低代码早已不再是新事物。从简单的仪表板到复杂的应用程序，低代码应用程序正变得越来越多样化，并在企业界得到了广告的采用。从本质上讲，低代码是应用程序开发的一种可视化范例，它涉及拖放预构建组件和集成，从而实现快速、简单且不易出错的开发。

低代码的优势在于，它使非传统开发背景的用户能够参与到应用程序的开发过程中，从而降低开发门槛并加快项目进度。它还缩小了组织在资源有限和开发人员稀缺的情况下满足不断增长的数字化需求时出现的供需差距。与传统编码方法相比，许多低代码平台使公民开发人员（例如业务分析师、业务线用户、初级开发人员）能够轻松构建应用程序，同时大大减少交付时间。

但公民开发人员的生产力和速度并不是低代码开发的唯一好处。如今，低代码平台还具有专为从企业 IT 团队到 ISV 的专业开发人员构建的功能。这些平台经过强化以供企业使用，能够利用复杂应用程序的可扩展性和安全需求，并且具有足够成熟的集成功能，可以无缝地与现有工具和技术相适应。

在 COVID-19 大爆发期间，许多企业通过采用低代码平台和应用程序进行自我改造，这些平台和应用程序帮助他们适应突然转变为远程工作场景并满足随之而来的必要现代应用程序需求。

低代码和远程工作的安全挑战
与传统开发相比，低代码涉及多种角色协同工作以构建应用程序，同时处理自动生成的代码、现成的组件和内置的默认配置。环境的这种转变揭示了一些需要解决的独特挑战。基于低代码构建的远程团队存在一些常见的安全挑战。

应用程序开发和远程团队协作

• 缺乏安全意识：低代码用户来自商业和技术背景。一些从业者不熟悉应用程序安全最佳实践，缺乏对潜在漏洞和安全漏洞的认识和理解。
• 平台访问和管理控制：集中部署低代码，并通过浏览器访问供整个企业的用户使用。这引入了网络入侵的风险；向未经授权的开发人员提供访问权限，并向远程访问平台时不需要的用户开放更大的权限。
• 代码存储库和团队协作：低代码平台必须确保自动生成的代码可以提交到企业认可的存储库。这种代码访问不应该被滥用，并且应该有足够的协议来进行代码控制和升级。
  

代码生成和 DevSecOps 最佳实践

• 保护自定义代码：低代码工具允许编写自定义代码来扩展和执行平台编码准则和设计模式，以保护敏感数据免受未经授权的访问。
• 坚持安全发布实践：与现有企业 CI/CD 管道集成很重要，这样开发团队可以在投入生产之前将相同的发布治理协议扩展到自动生成的代码。
  

应用程序访问和数据保护

• 防止恶意攻击：如今，Web 和移动应用程序都成为安全漏洞的持续目标。自动生成的代码和远程工作的公民开发人员可以使低代码应用程序更容易出现漏洞。平台应生成完全保护免受网络钓鱼攻击、SQL 注入、蛮力攻击和 DOS 攻击的应用程序。
• 安全数据和应用程序访问：低代码平台应提供全面的访问控制机制，防止未经授权访问数据和应用程序功能。远程团队可以随时随地从任何设备访问应用程序，通过适当的控制可以防止数据泄露。
  

低代码和安全——发展的未来
随着企业和 ISV 转向低代码来处理更复杂的业务，更大的问题仍然存在。低代码平台能否使现代开发团队能够更快地交付应用程序，同时仍然支持安全且受严格管理的环境？
答案是，是的，他们可以！但是，开发团队在考虑低代码平台时必须考虑以下安全清单：

• 选择的低代码平台必须设置在企业安全 DMZ 或安全私有云中，并且必须轻松通过网络安全许可。
• 该平台必须为自动生成的代码以及开发人员编写的自定义代码强制执行最佳编程实践（编码约定、设计模式和数据加密），以促进与现有 CI/CD 流程和工具的更轻松集成。
• 该平台必须针对 Web 和移动应用程序的前 10 大 OWASP 漏洞提供全面保护，并具有第三方认证以保证代码质量和安全性。此外，组织应确保其所选平台的二进制文件以及 CVE 库中列出的所有第三方依赖项（包括开源库）中没有漏洞。
• 该解决方案必须支持多个身份验证提供程序（数据库、LDAP、AD、SSO、SAML、Open-ID、多因素、生物识别）来构建具有强大用户安全性的应用程序。对于用户授权，确保同时支持粗粒度和细粒度访问控制策略，以保护基于 RBAC 的应用程序的各个方面。
• 开发团队可以采用低代码技术，同时确保安全最佳实践到位。低代码将继续存在，借助正确的平台，企业和 ISV 可以确保安全性向左转移，并在开发过程的早期由开发人员解决。结果是高效的远程工作人员大量生产现代、可扩展和安全的应用程序。
  

JEPaaS是北京凯特伟业科技有限公司推出的一款安全可靠的低代码平台，我们是给客户私有化部署的，甚至源码交付的
2.1 物理安全：银行级别数据中心，严格的安全审核，严密的安全监控
2.2 网络安全：采用128位SSL加密配备检测系统
2.3 人员与流程的严格管理：严格的数据访问授权制度， 规范的客户服务流程、保密协议的商务保障
2.4 数据安全：
    2.4.1 存储安全：采用高可靠的云存储服务，提供99.999999999%的数据可靠性
    2.4.2 传输安全：所有公网数据均使用https安全协议传输，AES_256_CBC进行加密
    2.4.3 操作安全：多维度字段集权限控制，完善的功能模块操作记录
    2.4.4 账号安全：账号登录日志、复杂密码规则、超时登出等完善的账号安全体系
    2.4.5 本地备份：支持企业随时自主备份
    2.4.6 人员安全：所有员工签署保密协议
    2.4.7 法律保障：签署包括安全协议的合同，法律保障
   2.5 冗余备份与持续运行保障
       高可用的分布式服务器集群
       高度冗余的硬件配备
       健全的灾难防护措施
       实时数据备份机制
       数据归档和导出服务