近年来, low-code和no-code技术越来越受欢迎,Gartner 预测到 2024 年 65% 的应用程序开发将由这些革命性工具提供支持。它们提供一组简化的构建块,有助于为各个行业创建定制的 IT 解决方案。然而,与任何新技术一样,存在潜在风险,用户可能会担心low-code和no-code平台的安全性,这是可以理解的。
了解不同类型的平台
在评估安全风险之前,必须确定low-code或no-code平台所需的功能。通常,这些平台提供一系列组件,例如文本框、日期/时间选择器和数字输入,可以安排这些组件以制定量身定制的解决方案。通过这些组件输入的数据保留在平台上,使安全分析更加直接。在许多方面,这些组件与传统 SaaS 平台中的组件相似。
具有这些包含组件的平台可以归类为“包含”。新一代工具的真正区别在于云,它使 API(应用程序编程接口)变得越来越普遍。由于这些平台促进了跨各种系统的数据提取、转换和集成,因此将low-code和no-code开发提升到了新的高度。
想象一下您的团队在活动中与潜在客户互动的场景。从潜在客户那里获取一些信息并将其输入low-code或no-code应用程序后,该应用程序会在您的销售工作流程中创建一个 Salesforce 机会,分配一名客户经理,并更新您的电子邮件营销工具。使用这些开发工具可以在短时间内完成整个过程,从而实现有利于您的业务的无缝工作流程。
然而,互联平台直接与其他服务进行数据输入、输出或两者通信,突出了与互联系统相关的潜在风险。
相关风险
连接的low-code和no-code平台会导致对数据存储和处理的可见性丧失。当您使用连接的平台从 Marketo 等服务收集数据并将其发送到另一个外部服务时,所涉及的风险可能难以确定。使事情进一步复杂化的是,与第三方服务的连接通常是使用个人凭证而不是专用服务帐户建立的。因此,数据访问可能会记录在建立连接的人名下,而不是实际用户名下。
这种粒度的缺乏带来了重大的安全挑战,因为团队无法洞察谁在访问数据。此外,安全性长期以来一直在努力保持对公司 IT 环境的可见性。快速采用low-code和no-code平台可能会加剧这些可见性差距,除非行业成熟到可以满足企业需求。
适应低代码和No-Code安全
尽管存在安全问题,但low-code和no-code平台提供了显着的业务优势,使团队能够更有效地解决问题。为了安全地采用这些解决方案,用户应该从风险评估开始,以确定平台是否“连接”。如果已连接,请验证用于链接第三方服务的凭据并尽可能使用服务帐户。
接下来,调查平台的日志记录功能并确保为平台及其连接启用它们。保持对这些活动的可见性对于及时解决任何数据泄露或暴露问题至关重要。
一旦解决了基础问题,用户就可以专注于更高级的安全问题。例如,像 OWASP 这样的组织已经开始探索针对low-code和no-code开发的十大威胁。这项研究可以帮助指导用户的努力和安全最佳实践向前发展。
Gartner 的预测并未表明传统的开发方法将会过时。相反, low-code和no-code平台消除了障碍,使更广泛的用户能够解决他们的挑战。其中, AppMaster已成为著名的no-code平台,为后端、Web 和移动应用程序开发提供强大的工具。如果处理得当, low-code和no-code平台提供了向新一代用户介绍现代安全概念的机会,从一开始就培养有弹性和安全的解决方案。
