什么是低代码/无代码开发？

无代码工具和平台使用拖放界面来允许业务分析师等非程序员创建或修改应用程序。在某些情况下，可能需要实际编码（低代码）来与其他应用程序集成、生成报告或修改用户界面。这通常使用 SQL 或 Python 等高级编程语言来完成。

低代码/无代码平台的示例包括 Salesforce Lightning、FileMaker、Microsoft PowerApps 和 Google App Maker。这是使用此类平台的四个最重要的安全问题。

1.低代码/无代码应用程序的可见性低

使用由外部方开发的平台总是会带来可见性问题。您正在使用该软件，因此不知道源代码、相关漏洞或平台所经历的潜在测试和严格程度。

这可以通过利用诸如向供应商请求软件材料清单 (SBOM) 等做法来缓解。这将提供对其包含的软件组件及其相关漏洞的洞察。SBOM 的使用正在上升，最新的Linux 基金会研究表明，78% 的组织计划在 2022 年使用 SBOM。也就是说，SBOM 的使用仍在成熟，该行业还有很大的发展空间规范实践、流程和工具。

2.不安全的代码

与可见性问题相吻合的是不安全代码的可能性。低代码和无代码平台仍然有代码；他们只是抽象了编码并允许最终用户使用预先提供的代码功能。这很棒，因为它使非开发人员无需自己编写代码。当使用的代码不安全并且通过低代码和无代码平台跨组织和应用程序推断时，就会出现问题。

解决此问题的一种方法是与平台供应商合作，要求平台内使用的代码的安全扫描结果。静态和动态应用程序安全测试 (SAST/DAST) 等扫描结果可以为消费者提供一定程度的保证，即他们不仅仅是在复制不安全的代码。在组织控制之外创建代码的想法并不是一个新概念，并且在开源软件的猖獗使用中很普遍，超过 98% 的组织使用开源软件，并且与其他存储库相关的软件供应链威胁也是如此，例如用于基础设施即代码 (IaC) 模板的那些。

要考虑的另一个方面是，许多低代码和无代码平台都是作为软件即服务 (SaaS) 交付的。这使您可以向供应商申请行业认证，例如 ISO、SOC2、FedRAMP 和其他认证。这为组织的运营和适用于 SaaS 应用程序/平台本身的安全控制提供了进一步的保证。

SaaS 应用程序本身存在许多安全风险，需要适当的治理和严格的安全措施。如果不正确审查您的组织正在使用的 SaaS 应用程序和平台，您可能会使组织面临不适当的风险。如果使用低代码和无代码平台开发会暴露敏感组织或客户数据的应用程序，这种情况会进一步加剧。

3、失控的影子IT

由于低代码和无代码平台允许快速创建应用程序，即使是那些没有开发背景的人，也可能导致影子 IT 猖獗。影子 IT 发生在业务部门和员工创建应用程序并将它们在组织内部或外部向世界公开时。这些应用程序可能包含敏感的组织、客户或受监管数据，如果这些应用程序在数据泄露中受到损害，可能会对组织产生一系列影响。

4. 业务中断

从业务连续性的角度来看，如果平台出现中断，依赖作为服务交付的低代码和无代码平台可能会中断业务。对于组织而言，为关键业务应用程序（包括低代码和无代码平台）建立服务水平协议 (SLA) 非常重要。

降低低代码/无代码开发风险的技巧

      无论涉及何种技术，通用安全最佳实践都可以减轻上述风险，包括：

• 从具有受人尊敬的行业声誉的可信赖供应商处购买软件和平台。
  

• 确保这些供应商拥有第三方认证证书，以代表其内部安全实践和流程。
  

• 在您的应用程序和软件清单中考虑低代码和无代码平台，以及通过使用它们创建的应用程序。
  

• 保持良好的访问控制；知道谁在访问平台以及他们被允许执行哪些活动。
  

• 实施安全数据实践以了解您的关键数据所在的位置，以及使用低代码和无代码平台创建的应用程序是否包含敏感数据。
  

• 了解低代码/无代码平台的托管位置。这些平台是否托管在 AWS、Google 或 Microsoft Azure 等超大规模全球云服务提供商 (CSP) 中？或者它们是否托管在传统的本地数据中心中，仅限于没有物理和逻辑访问控制？
  

考虑组织的安全文化也很重要。虽然平台用户可能不是行业的开发人员或安全专家，但他们应该了解他们正在使用和创建的低代码和无代码平台和应用程序的安全含义。正如他们所说，强大的力量伴随着巨大的责任，这适用于低代码和无代码平台。