web開(kāi)發(fā)中低代碼開(kāi)發(fā)會(huì)帶來(lái)怎樣的安全風(fēng)險(xiǎn)

今天就跟大家聊聊有關(guān)web開(kāi)發(fā)中低代碼開(kāi)發(fā)會(huì)帶來(lái)怎樣的安全風(fēng)險(xiǎn)，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

Gartner 還預(yù)測(cè)，在疫情期間遠(yuǎn)程開(kāi)發(fā)的激增將繼續(xù)推動(dòng)低代碼的采用，盡管削減了預(yù)算并努力優(yōu)化了成本。

低代碼開(kāi)發(fā)在開(kāi)發(fā)者群體中的受歡迎程度

低代碼早已不再是新鮮的概念。從簡(jiǎn)單的儀表板到復(fù)雜的應(yīng)用程序，低代碼應(yīng)用程序正變得越來(lái)越多樣化，并在企業(yè)界得到了廣泛的采用。從本質(zhì)上講，低代碼是應(yīng)用程序開(kāi)發(fā)的一種可視化范例，它涉及拖放預(yù)構(gòu)建的組件和集成，從而實(shí)現(xiàn)了快速，輕松且不易出錯(cuò)的開(kāi)發(fā)。

低代碼的優(yōu)勢(shì)在于，它使非傳統(tǒng)開(kāi)發(fā)背景的用戶(hù)能夠參與應(yīng)用程序開(kāi)發(fā)過(guò)程，從而降低開(kāi)發(fā)門(mén)檻并加快項(xiàng)目進(jìn)度。隨著組織在資源有限和開(kāi)發(fā)人員稀缺的情況下滿(mǎn)足不斷增長(zhǎng)的數(shù)字化需求，這也縮小了供需缺口。與傳統(tǒng)的開(kāi)發(fā)范式相比，低代碼平臺(tái)的出現(xiàn)使泛開(kāi)發(fā)人員(例如業(yè)務(wù)分析師，業(yè)務(wù)線(xiàn)用戶(hù)，初級(jí)開(kāi)發(fā)人員)易于構(gòu)建應(yīng)用程序，同時(shí)大大縮短了交付時(shí)間。

但是，為泛開(kāi)發(fā)人員提供的生產(chǎn)力和速度并不是低代碼開(kāi)發(fā)的唯一好處。如今，低代碼開(kāi)發(fā)平臺(tái)還具有專(zhuān)門(mén)為從企業(yè) IT 團(tuán)隊(duì)到 ISV  的專(zhuān)業(yè)開(kāi)發(fā)人員而構(gòu)建的功能。這些平臺(tái)經(jīng)過(guò)強(qiáng)化，可用于企業(yè)用途，能夠利用復(fù)雜應(yīng)用程序的可伸縮性和安全性需求，并且具有足夠成熟的集成功能，可以無(wú)縫地與現(xiàn)有工具和技術(shù)配合使用。

在疫情爆發(fā)期間，許多企業(yè)通過(guò)采用低代碼平臺(tái)和應(yīng)用程序進(jìn)行了重塑，從而幫助他們適應(yīng)了突然轉(zhuǎn)移到遠(yuǎn)程工作場(chǎng)景并滿(mǎn)足隨之而來(lái)的必要現(xiàn)代應(yīng)用程序需求。

低代碼和遠(yuǎn)程工作帶來(lái)的安全挑戰(zhàn)

與傳統(tǒng)開(kāi)發(fā)相比，低代碼涉及各種角色，共同構(gòu)建應(yīng)用程序，同時(shí)處理自動(dòng)生成的代碼、現(xiàn)成的組件和內(nèi)置的默認(rèn)配置。環(huán)境的這種變化揭示了一些需要解決的獨(dú)特挑戰(zhàn)。建立在低代碼上的遠(yuǎn)程團(tuán)隊(duì)面臨一些常見(jiàn)的安全挑戰(zhàn)。

應(yīng)用程序開(kāi)發(fā)和遠(yuǎn)程團(tuán)隊(duì)協(xié)作

• 缺乏安全意識(shí)：低代碼工具的用戶(hù)很多來(lái)自商業(yè)背景，一些人員不熟悉應(yīng)用程序安全最佳實(shí)踐，并且對(duì)潛在的漏洞和安全漏洞缺乏認(rèn)識(shí)和了解。

• 平臺(tái)訪(fǎng)問(wèn)和管理控制：低代碼集中部署，可通過(guò)瀏覽器訪(fǎng)問(wèn)供整個(gè)企業(yè)中的用戶(hù)使用。這帶來(lái)了網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)。比如為未經(jīng)授權(quán)的開(kāi)發(fā)人員提供訪(fǎng)問(wèn)權(quán)限，并為遠(yuǎn)程訪(fǎng)問(wèn)平臺(tái)時(shí)不需要它的用戶(hù)提供更大的權(quán)限。

• 代碼存儲(chǔ)庫(kù)和團(tuán)隊(duì)協(xié)作：低代碼平臺(tái)必須確保自動(dòng)生成的代碼可以提交給企業(yè)認(rèn)可的存儲(chǔ)庫(kù)。不應(yīng)濫用此代碼訪(fǎng)問(wèn)權(quán)限，并且應(yīng)該具有適當(dāng)?shù)膮f(xié)議來(lái)進(jìn)行代碼控制和升級(jí)。

代碼生成和 DevSecOps 最佳實(shí)踐

• 保護(hù)自定義代碼：低代碼工具允許編寫(xiě)自定義代碼，以擴(kuò)展和實(shí)施平臺(tái)編碼準(zhǔn)則和設(shè)計(jì)模式，以保護(hù)敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

• 遵循安全的發(fā)布慣例：與現(xiàn)有的企業(yè) CI/CD 管道集成非常重要，因此開(kāi)發(fā)團(tuán)隊(duì)可以在生產(chǎn)之前將相同的發(fā)布管理協(xié)議擴(kuò)展到自動(dòng)生成的代碼。

應(yīng)用程序訪(fǎng)問(wèn)和數(shù)據(jù)保護(hù)

• 防止惡意攻擊：如今，Web  和移動(dòng)應(yīng)用程序都日益成為安全漏洞的目標(biāo)。自動(dòng)生成的代碼以及公民開(kāi)發(fā)人員可以遠(yuǎn)程工作，可以使低代碼的應(yīng)用程序更容易受到漏洞的攻擊。平臺(tái)應(yīng)生成完全受到網(wǎng)絡(luò)釣魚(yú)攻擊，SQL  注入，暴力攻擊和 DOS 攻擊保護(hù)的應(yīng)用程序。

• 安全的數(shù)據(jù)和應(yīng)用程序訪(fǎng)問(wèn)：低代碼平臺(tái)應(yīng)提供全面的訪(fǎng)問(wèn)控制機(jī)制，以防止未經(jīng)授權(quán)訪(fǎng)問(wèn)數(shù)據(jù)和應(yīng)用程序功能。通過(guò)遠(yuǎn)程團(tuán)隊(duì)隨時(shí)隨地從任何設(shè)備訪(fǎng)問(wèn)應(yīng)用程序，可以通過(guò)適當(dāng)?shù)目刂苼?lái)防止數(shù)據(jù)泄露。

低代碼和安全性 —— 發(fā)展的未來(lái)

隨著企業(yè)和 ISV  在更重要的業(yè)務(wù)中轉(zhuǎn)向低代碼，更大的問(wèn)題仍然存在。低代碼平臺(tái)是否可以使現(xiàn)代開(kāi)發(fā)團(tuán)隊(duì)更快地交付應(yīng)用程序，同時(shí)仍能實(shí)現(xiàn)安全且嚴(yán)格控制的環(huán)境?答案是，是的，他們可以!但是，開(kāi)發(fā)團(tuán)隊(duì)在考慮低代碼平臺(tái)時(shí)必須考慮以下安全檢查表：1、所選的低代碼平臺(tái)必須在企業(yè)安全的  DMZ 或安全的私有云中建立，并且必須毫不費(fèi)力地通過(guò)網(wǎng)絡(luò)安全許可。

2、該平臺(tái)必須對(duì)自動(dòng)生成的代碼以及開(kāi)發(fā)人員編寫(xiě)的自定義代碼實(shí)施最佳的編程實(shí)踐(編碼約

定，設(shè)計(jì)模式和數(shù)據(jù)加密)，以簡(jiǎn)化與現(xiàn)有 CI/CD 流程和工具的集成。

3、該平臺(tái)必須針對(duì) Web 和移動(dòng)應(yīng)用程序的十大 OWASP  漏洞提供全面保護(hù)，并擁有第三方認(rèn)證以保證代碼質(zhì)量和安全性。此外，組織應(yīng)確保所選平臺(tái)的二進(jìn)制文件以及 CVE  庫(kù)中列出的所有第三方依賴(lài)項(xiàng)(包括開(kāi)源庫(kù))中均不存在漏洞。

4、該解決方案必須支持多個(gè)身份驗(yàn)證提供程序(數(shù)據(jù)庫(kù)，LDAP，AD，SSO，SAML，Open-ID，多因素，生物識(shí)別)，以構(gòu)建具有強(qiáng)大用戶(hù)安全性的應(yīng)用程序。對(duì)于用戶(hù)授權(quán)，請(qǐng)確保同時(shí)支持粗粒度訪(fǎng)問(wèn)控制策略和細(xì)粒度訪(fǎng)問(wèn)控制策略，以保護(hù)基于  RBAC 的應(yīng)用程序的各個(gè)方面。

開(kāi)發(fā)團(tuán)隊(duì)可以采用低代碼技術(shù)，同時(shí)確保適當(dāng)?shù)陌踩罴褜?shí)踐。低代碼將保留下來(lái)，并且借助正確的平臺(tái)，企業(yè)和 ISV  可以確保在開(kāi)發(fā)過(guò)程的早期就將安全性向左轉(zhuǎn)移并由開(kāi)發(fā)人員解決。結(jié)果是高效率的遠(yuǎn)程勞動(dòng)力生產(chǎn)出了現(xiàn)代，可擴(kuò)展和安全的應(yīng)用程序。

看完上述內(nèi)容，你們對(duì)web開(kāi)發(fā)中低代碼開(kāi)發(fā)會(huì)帶來(lái)怎樣的安全風(fēng)險(xiǎn)有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。