許多組織現(xiàn)在依靠低代碼/無(wú)代碼應(yīng)用程序開發(fā)平臺(tái)來(lái)經(jīng)濟(jì)高效地滿足業(yè)務(wù)運(yùn)營(yíng)不同方面的各種應(yīng)用程序需求。最近的一項(xiàng)調(diào)查顯示，47% 的組織已經(jīng)在使用這些技術(shù)，而沒有使用這些技術(shù)的組織中有 20% 表示打算在未來(lái) 12 個(gè)月內(nèi)采用該技術(shù)。

低代碼/無(wú)代碼趨勢(shì)正在改變組織構(gòu)建應(yīng)用程序以滿足其需求的方式。

企業(yè)可以使用低代碼/無(wú)代碼開發(fā)平臺(tái)來(lái)創(chuàng)建數(shù)字化和自動(dòng)化手動(dòng)和紙質(zhì)流程的應(yīng)用程序。它們可用于開發(fā)客戶參與工具。他們可以構(gòu)建應(yīng)用程序，以便輕松地與業(yè)務(wù)合作伙伴共享數(shù)據(jù)。

這是因?yàn)榈痛a/無(wú)代碼技術(shù)將權(quán)力掌握在業(yè)務(wù)用戶手中，他們是決定公司下一步需要構(gòu)建什么的最佳人選?，F(xiàn)在他們有能力自己建造它。

與每一次重大技術(shù)浪潮一樣，創(chuàng)新也可能帶來(lái)新的風(fēng)險(xiǎn)，低代碼/無(wú)代碼技術(shù)也不例外。公民發(fā)展的安全風(fēng)險(xiǎn)是真實(shí)存在的，可以抵消優(yōu)勢(shì)。

相關(guān)：低代碼/無(wú)代碼開發(fā)的演變

以下是突出低代碼/無(wú)代碼應(yīng)用程序開發(fā)及其產(chǎn)生的應(yīng)用程序的風(fēng)險(xiǎn)傾向的不同點(diǎn)的概要。

應(yīng)用程序安全的共同責(zé)任

與公共云一樣，無(wú)代碼/低代碼平臺(tái)可以更輕松、更快速地開發(fā)應(yīng)用程序和自動(dòng)化（針對(duì)不同的用戶和不同的用例），但這又帶來(lái)了安全成本。

LCNC 平臺(tái)負(fù)責(zé)確保他們的平臺(tái)不會(huì)被黑客入侵。組織面臨的問(wèn)題是專業(yè)和公民開發(fā)人員使用這些平臺(tái)的方式以及他們構(gòu)建/實(shí)施應(yīng)用程序和自動(dòng)化的方式。它還與實(shí)現(xiàn)的業(yè)務(wù)邏輯有關(guān)。

當(dāng)專業(yè)或公民開發(fā)人員創(chuàng)建的應(yīng)用程序使組織面臨安全或合規(guī)風(fēng)險(xiǎn)時(shí)，例如向任何用戶公開管理員憑據(jù)的應(yīng)用程序，或?qū)⒚舾袛?shù)據(jù)移動(dòng)到不受控制的位置的自動(dòng)化，或錯(cuò)誤處理 PII 的應(yīng)用程序— 跟蹤此類威脅并推動(dòng)補(bǔ)救是組織的責(zé)任。

缺乏可見性導(dǎo)致不可能的治理

無(wú)代碼/低代碼開發(fā)的問(wèn)題之一是安全團(tuán)隊(duì)缺乏可見性。正如云安全專家Chris Hughes解釋的那樣，“您正在使用該軟件，因此不了解源代碼、相關(guān)漏洞或平臺(tái)所經(jīng)歷的潛在測(cè)試和嚴(yán)格程度。”這是因?yàn)槠脚_(tái)抽象了“代碼”，使您無(wú)法啟用依賴于清點(diǎn)和掃描代碼的傳統(tǒng)方法。

相關(guān)：低代碼開發(fā)人員報(bào)告的工作滿意度更高

無(wú)代碼/低代碼平臺(tái)無(wú)處不在；從 微軟、Salesforce或ServiceNow等企業(yè)中已經(jīng)可用的 SaaS 解決方案，到企業(yè)中直接采用的 Zapier 等平臺(tái)。安全團(tuán)隊(duì)無(wú)法知道使用了什么、制造商是誰(shuí)、關(guān)鍵業(yè)務(wù)應(yīng)用程序是否是使用此類工具開發(fā)的，以及它們是否涉及敏感數(shù)據(jù)。

安全團(tuán)隊(duì)如何保護(hù)和管理他們看不到的東西？

為了解決缺乏可見性和治理困難的挑戰(zhàn)，最可行的解決方案是選擇一個(gè)低代碼/無(wú)代碼平臺(tái)，該平臺(tái)具有支持可見性的功能，例如與現(xiàn)有安全控制或第三方集成的能力。基于派對(duì)云的安全驗(yàn)證工具。與安全解決方案或平臺(tái)集成對(duì)于能夠跟蹤正在部署的低代碼應(yīng)用程序非常重要，特別是它們生成、處理、存儲(chǔ)和傳輸?shù)臄?shù)據(jù)。

壓倒性的影子 IT

以低代碼/無(wú)代碼應(yīng)用程序的速度，尤其是在大型和復(fù)雜的組織中，組織看到他們的影子 IT 越來(lái)越大并不應(yīng)該感到驚訝。Everest Group的一項(xiàng)研究表明，影子 IT 占 IT 支出的 50% 或更多。這對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)并不是一個(gè)好兆頭，特別是考慮到 Gartner 的預(yù)測(cè)，即大約 30% 的安全漏洞可歸因于影子 IT。

相關(guān)：首個(gè)無(wú)代碼日凸顯了不斷增長(zhǎng)的應(yīng)用領(lǐng)域

需要強(qiáng)調(diào)的是，影子 IT 是指使用沒有 IT 部門明確或明確批準(zhǔn)的 IT 系統(tǒng)，從硬件到軟件。這是低代碼/無(wú)代碼應(yīng)用程序的開發(fā)和使用通常會(huì)發(fā)生的情況。將低代碼/無(wú)代碼與影子 IT 問(wèn)題分開是不合適的。

影子 IT 對(duì)組織不利，原因有很多。最值得注意的是，它會(huì)導(dǎo)致以下結(jié)果：

• 無(wú)法了解和監(jiān)控 IT 資產(chǎn)意味著無(wú)法看到大局。它使組織無(wú)法清楚地知道他們擁有什么以及需要保護(hù)什么。
• 影子 IT 使識(shí)別威脅和有效預(yù)測(cè)、阻止或緩解威脅變得困難。構(gòu)成影子 IT 一部分的應(yīng)用程序可能成為數(shù)據(jù)泄漏的根源，但 IT 部門或網(wǎng)絡(luò)安全團(tuán)隊(duì)可能很難查明它們并相應(yīng)地解決問(wèn)題。
• 擁有更多的軟件通常意味著更多的故障點(diǎn)。在某些情況下，低代碼/無(wú)代碼應(yīng)用程序不再受到監(jiān)控，因?yàn)樗鼈儽徽J(rèn)為是微不足道的或良性的，最終成為漏洞，因?yàn)樗鼈冃孤?shù)據(jù)或允許腳本注入。
• 此外，影子 IT 是組織流程中的一個(gè)不可控因素。影子 IT 面紗下的低代碼/無(wú)代碼應(yīng)用程序無(wú)法與組織的安全態(tài)勢(shì)保持一致，并且如果它們產(chǎn)生安全問(wèn)題，則無(wú)法輕松追蹤和修復(fù)?？刂扑鼈兊奈ㄒ环椒ㄊ亲屵@些影子 IT 組件曝光，這意味著它們必須停止成為影子 IT。

許多 IT 專家贊同影子 IT 不是問(wèn)題本身，而是一種癥狀的觀點(diǎn)。如果員工從組織的已知 IT 設(shè)置和資源中獲取他們需要的 IT 資源，它就不會(huì)存在。通過(guò)適當(dāng)?shù)闹卫砗桶踩?yàn)證，低代碼/無(wú)代碼應(yīng)用程序不必成為影子 IT 的一部分。

缺乏網(wǎng)絡(luò)安全專業(yè)知識(shí)

用戶不需要深厚的技術(shù)知識(shí)來(lái)弄清楚如何使用低代碼/無(wú)代碼開發(fā)平臺(tái)，更不用說(shuō)網(wǎng)絡(luò)安全知識(shí)來(lái)確保他們不會(huì)構(gòu)建和部署可能會(huì)造成安全漏洞或與其組織的安全態(tài)勢(shì)。

這顯然是任何組織固有的安全風(fēng)險(xiǎn)?，F(xiàn)在任何人都可以通過(guò)直觀的界面構(gòu)建應(yīng)用程序，但幾乎所有人都對(duì)潛在風(fēng)險(xiǎn)一無(wú)所知。教授和學(xué)習(xí)安全應(yīng)用程序開發(fā)的基礎(chǔ)并不容易。

OWASP 十大低代碼/無(wú)代碼安全風(fēng)險(xiǎn)涵蓋了可歸因于低代碼/無(wú)代碼用戶缺乏網(wǎng)絡(luò)安全知識(shí)的不同風(fēng)險(xiǎn)。有一種趨勢(shì)是創(chuàng)建具有不安全身份驗(yàn)證、數(shù)據(jù)泄漏問(wèn)題、應(yīng)用程序和組件過(guò)度共享、數(shù)據(jù)和秘密處理失敗、配置錯(cuò)誤、依賴注入風(fēng)險(xiǎn)、非托管自定義模式以及啟用權(quán)限升級(jí)的漏洞的應(yīng)用程序。

普通用戶可能甚至沒有聽說(shuō)過(guò)這些安全風(fēng)險(xiǎn)。他們不太可能知道避免這些情況所必需的措施。即使應(yīng)用程序開發(fā)平臺(tái)附帶提供安全問(wèn)題提醒的向?qū)?，許多用戶也可能對(duì)它們的確切含義一無(wú)所知。

綜上所述

不過(guò)，低代碼/無(wú)代碼應(yīng)用程序開發(fā)安全風(fēng)險(xiǎn)的問(wèn)題并不是組織無(wú)法解決的問(wèn)題。許多平臺(tái)已經(jīng)開始更加意識(shí)到安全影響?，F(xiàn)在，領(lǐng)先的平臺(tái)在設(shè)計(jì)時(shí)就考慮到了網(wǎng)絡(luò)安全。

對(duì)于那些想要嘗試低代碼應(yīng)用程序構(gòu)建平臺(tái)的人來(lái)說(shuō)，這里描述的問(wèn)題絕不是隱含的威懾。風(fēng)險(xiǎn)是真實(shí)存在的，但并非沒有相應(yīng)的有效解決方案。借助正確的網(wǎng)絡(luò)安全知識(shí)和安全驗(yàn)證工具，組織可以從低代碼/無(wú)代碼應(yīng)用程序和應(yīng)用程序開發(fā)中受益，而不會(huì)出現(xiàn)安全問(wèn)題。

Ben Kliger 是Zenity的首席執(zhí)行官和聯(lián)合創(chuàng)始人。