共计 1684 个字符,预计需要花费 5 分钟才能阅读完成。
在过来的几年中, 低代码和无代码工具以及平台在企业中衰亡。2021 年,Gartner 魔力象限在对于低代码的报告中指出,41% 的非 IT 从业人员应用低代码 / 无代码工具来定制、构建数据, 或提出技术解决方案。同时 Gartner 预测到 2025 年底, 将有一半的新增低代码用户来自从事非 IT 行业的商业客户。
低代码 / 无代码工具提供反对拖放的交互界面, 使得即便非程序员也可能创立或批改应用程序。从而,用户可能开发出新的数据驱动的应用程序,而且无需再依赖传统的开发团队。低代码 / 无代码框架容许企业通过应用预建的利用组件“块”轻松创立可疾速部署的应用程序。
低代码 / 无代码平台以及工具针对的是两类齐全不同的用户。一类是非技术人员,他们应用这些工具来创立本人的应用程序,通常是为了简化本人的工作流程, 以及连通那些可能还互不通信的产品。另一类用户则是传统开发人员,应用这些预建的组件使他们的工作变得更简略,同时帮忙他们疾速组合这些预建的要害业务利用组件。
最近进行的一项考察显示,64% 的 IT 专业人士认为低代码是他们首选的开发解决方案。另外多达 59% 的低代码我的项目都是业务团队和 IT 团队合作实现的,这意味着你须要像思考其余第三方代码组件一样去思考软件供应链中的低代码 / 无代码组件。
低代码 / 无代码的危险
与应用基于容器的架构或 Serverless 计算的传统开发模式一样,采纳低代码 / 无代码模式同样存在与软件供应链相干的业务危险。任何模式的实现都依赖于提供的框架建设在安全可靠的根底上,要求他们不能含有那些可能违反法规或产生网络安全事件时会间接影响企业商誉的性能。
举一个对于应用容器的案例:咱们曾看到大量的相干报告,歹意用户在容器镜像中植入暗藏的流氓软件,而后将镜像公布到公共 Docker 注册。这是一个很大的库,因为其信用良好从中提取容器镜像的用户很少会再去检查一下。然而一旦没有对那些问题镜像进行确切的查看,任何援用它们的部署都将会为各种网络威逼关上大门,包含威逼数据安全的非预期性能。这就是软件供应链成为网络安全团队首要思考的起因之一。
框架与第三方 API 的交互
2021 年教会了咱们一件关于软件的事件就是供应链很简单!攻击者通过利用咱们对开发范例的信赖一直寻找破绽。
向非技术人员推出低代码 / 无代码产品带来的平安危险可能比用户理解到的更为简单。非技术人员可能也晓得他们的利用有数据隐衷相干的需要,然而齐全不分明框架如何与第三方 API 进行交互,满足需要更是无从谈起。从而可能无心中使他们的企业违反了相干法规要求。例如加利福尼亚隐私权法案 (CPRA) 定义了几种新的个人身份信息 (PII) 隐私权法案,并为相干数据传输的平安要求扩大了相干法案 (CPPA) 的定义。相熟 CCPA 需要并应用低代码 / 无代码框架的非技术人员可能不晓得如何正确处理这些新需要,甚至不晓得框架是如何解决它们的。所以购买低代码 / 无代码解决方案的企业应在其供应商抉择过程中关注以下内容:
- 全面联合通用平安框架的平安审查,如 NIST 800-218《平安软件开发框架 V1.1》。
- 供应商提供的软件物料清单 (SBOM) 须要形容反对低代码 / 无代码框架的软件供应链的复杂性。
- 审查数据传输和 API 应用状况,以确定数据处理的监管影响。
- 理解低代码 / 无代码供应商针对解决漏洞补丁的服务级别协定。
底线,它依然是代码
尽管低代码 / 无代码框架为开发人员以及非技术人员提供了一种简略的开发模式,但它们依然须要代码提供反对的。“低代码”和“无代码”是指用户须要晓得多少代码来实现利用,而不是它们蕴含多少代码。
与所有当下的软件一样,低代码 / 无代码框架也是依赖许多的代码库构建的:商业的第三方服务商、开源组件以及云 API 服务,这其中的每一个都代表一个独立的代码分支,每个分支又能够再蕴含本人的代码分支。这些分支一起形成了当初的服务供应链,因而该链中的任何斗争都可能带来相干攻打。这就是为什么要理解你的软件供应链是如此重要的起因。即便对于低代码 / 无代码框架也是如此,因为依然有代码为这些应用程序提供反对。如果框架提供者没有能力治理相干危险,那么最终承当这些危险的就是该框架的使用者了。