如何处理低代码平台中的安全问题?
发布时间:2022-06-08 14:22:27 所属栏目:安全 来源:互联网
导读:在过去几年里,低代码和无代码工具及平台的兴起席卷了企业领域的方方面面。Gartner 2021 年魔力象限报告称,在低代码这块,41% 的非 IT 从业人员使用低代码/无代码工具定制或构建数据或技术解决方案。Gartner 预测,到 2025 年底,将会有一半的低代码新客户
|
在过去几年里,低代码和无代码工具及平台的兴起席卷了企业领域的方方面面。Gartner 2021 年魔力象限报告称,在低代码这块,41% 的非 IT 从业人员使用低代码/无代码工具定制或构建数据或技术解决方案。Gartner 预测,到 2025 年底,将会有一半的低代码新客户是来自于 IT 组织之外的商业买家。 低代码/无代码工具通过一套拖拽式的用户界面,允许非程序员用户创建或修改应用程序,使得用户无需依赖传统的开发团队即可开发新的数据驱动型应用程序。低代码/无代码开发让企业得以通过使用预构建好的应用程序组件“块”,轻松地创建出能够快速部署的应用程序。 1. 低代码/无代码的风险 和软件供应链有关的业务风险在低代码/无代码的世界里同样存在,因为它们同样是基于容器的架构或是无服务器计算这些较为传统的开发范式。 任何这些范式的实现都有赖于它们所使用的框架是建立在安全的基础之上这一前提假设。换句话说,这假定了它们没有任何可能影响监管合规性或是在发生网络安全事件时直接影响商业声誉的造假能力。 2. 将第三方 API 的交互脚手架化 过去的 2021 年在软件方面教会我们的一件事情就是,供应链很复杂,而且攻击者会利用我们对于一些开发范式的信任不断寻找可乘之机。 向平民开发者推出低代码/无代码产品将会带来的安全风险,可能会比用户自身意识到的要更加复杂。 一个平民开发者也许知道其应用程序的数据隐私要求,但是他未必能完全清楚脚手架是如何与第三方 API 交互的,从而使他们的组织很容易无意中就违反了一些合规性要求。 比如,加州隐私权法案(CPRA)定义了几个新的个人身份信息(PII)类别,并将数据传输要求扩展到加州消费者隐私法案(CCPA)定义的范畴之外。熟悉 CCPA 要求并且使用低/无代码框架的平民开发者可能不理解如何正确处理这些新的需求,甚至对于脚手架是如何解决这些问题也并不是很清楚。 和所有现代软件一样,低代码无代码框架同样也是基于多种来源的代码库构建的:已经商业化的第三方供应商、开源组件以及云 API 服务。这些元素中的每一个都可以代表一门独立的代码流派,每个流派都拥有属于自己的代码流。将它们放到一起,也就构成了一个现代服务的供应链,因此任何损害该供应链的行为都可以看作是一次供应链攻击。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号