在线客服
扫描二维码
下载博学谷APP
扫描二维码
关注博学谷微信公众号
低代码则低风险吗?事实并非如此,低代码/无代码工具提供支持拖放的交互界面,使得即使非程序员也能够创建或修改应用程序,而向非技术人员推出低代码/无代码产品带来的安全风险可能比用户了解到的更为复杂。
在过去的几年中低代码和无代码工具以及平台在企业中兴起。2021年,Gartner魔力象限在关于低代码的报告中指出,41%的非IT从业人员使用低代码/无代码工具来定制、构建数据,或提出技术解决方案。同时Gartner预测到2025年底,将有一半的新增低代码用户来自从事非IT 行业的商业客户。
一、什么是低代码?
在低代码开发平台上,技术人员和业务专业人员可以通过图形界面而不是传统的计算机编程创建业务应用程序,并通过拖放 UI 组件和可视化模型替换部分或全部编码工作。可以根据标准化工具自动生成项目组件,如前后端代码和配置文件。
低代码/无代码工具提供支持拖放的交互界面,使得即使非程序员也能够创建或修改应用程序。从而,用户能够开发出新的数据驱动的应用程序,而且无需再依赖传统的开发团队。低代码/无代码框架允许企业通过使用预建的应用组件“块”轻松创建可快速部署的应用程序。
低代码/无代码平台以及工具针对的是两类完全不同的用户。一类是非技术人员,他们使用这些工具来创建自己的应用程序,通常是为了简化自己的工作流程,以及连通那些可能还互不通信的产品。另一类用户则是传统开发人员,使用这些预建的组件使他们的工作变得更简单,同时帮助他们快速组合这些预建的关键业务应用组件。
最近一项调查显示,64%的IT专业人士认为低代码是他们首选的开发解决方案。另外多达59%的低代码项目都是业务团队和IT团队协作完成的,这意味着你需要像考虑其他第三方代码组件一样去考虑软件供应链中的低代码/无代码组件。
二、低代码平台优势
1、低风险高回报率
如果把这句话放在金融语境中,就大错特错了,但是在IT开发领域,完全可以做到。在低代码平台上开发不会像传统开发方式那样面临高昂的开发、人力和时间成本。让零基础的非IT人员在短时间内掌握开发应用的要领,专注于业务。同时,开发了一个符合业务场景的应用,并快速投入使用。
2、适合多种需求
创新不单单是事实,要想落地,还需要强大的支持。然而,创新往往是多变和混乱的。别担心,低代码平台可以处理它。拖放操作和快速迭代版本使创新更容易实现。
3、维护简单扩展性强
在低代码平台上开发就像构建块。你只需要按照一定的顺序排列和组合各种块,就可以形成一个美丽的“城堡”。但是,如果你不满意或想重新制作怎么办?无需推翻和重建,低代码和强大的扩展迭代能力,轻松满足企业应用更新需求。
数字化转型是让企业利用新技术推动业务变革完善,进而更好地服务客户。低代码平台将公司转变为敏捷、数字化的公司,使公司具备下一代创新竞争力。
低代码开发平台加快了应用开发速度,降低了应用开发成本,改变了公司对技术开发人员的依赖,减少了应用开发任务的积压。
三、低代码/无代码的风险
与使用基于容器的架构或Serverless计算的传统开发模式一样,采用低代码/无代码模式同样存在与软件供应链相关的业务风险。任何模式的实现都依赖于提供的框架建立在安全可靠的基础上,要求他们不能含有那些可能违反法规或发生网络安全事件时会直接影响企业商誉的功能。
举一个关于使用容器的案例:我们曾看到大量的相关报告,恶意用户在容器镜像中植入隐藏的流氓软件,然后将镜像发布到公共Docker注册。这是一个很大的库,因为其信誉良好从中提取容器镜像的用户很少会再去检查一下。然而一旦没有对那些问题镜像进行确切的检查,任何引用它们的部署都将会为各种网络威胁打开大门,包括威胁数据安全的非预期功能。这就是软件供应链成为网络安全团队首要考虑的原因之一。
四、框架与第三方 API 的交互
2021年教会了我们一件关于软件的事情就是供应链很复杂!攻击者通过利用我们对开发范例的信任不断寻找漏洞。
向非技术人员推出低代码/无代码产品带来的安全风险可能比用户了解到的更为复杂。非技术人员可能也知道他们的应用有数据隐私相关的需求,但是完全不清楚框架如何与第三方API进行交互,满足需求更是无从谈起。从而可能无意中使他们的企业违反了相关法规要求。例如加利福尼亚隐私权法案(CPRA)定义了几种新的个人身份信息(PII)隐私权法案,并为相关数据传输的安全要求扩展了相关法案(CPPA)的定义。熟悉 CCPA 需求并使用低代码/无代码框架的非技术人员可能不知道如何正确处理这些新需求,甚至不知道框架是如何处理它们的。所以购买低代码/无代码解决方案的企业应在其供应商选择过程中关注以下内容:
全面结合通用安全框架的安全审查,如 NIST 800-218《安全软件开发框架V1.1》。供应商提供的软件物料清单(SBOM)需要描述支持低代码/无代码框架的软件供应链的复杂性。审查数据传输和 API 使用情况,以确定数据处理的监管影响。了解低代码/无代码供应商针对处理漏洞补丁的服务级别协议。
五、底线,它仍然是代码
虽然低代码/无代码框架为开发人员以及非技术人员提供了一种简单的开发模式,但它们仍然需要代码提供支持的。“低代码”和“无代码”是指用户需要知道多少代码来实现应用,而不是它们包含多少代码。
与所有当下的软件一样,低代码/无代码框架也是依赖许多的代码库构建的:商业的第三方服务商、开源组件以及云 API 服务,这其中的每一个都代表一个独立的代码分支,每个分支又可以再包含自己的代码分支。这些分支一起构成了现在的服务供应链,因此该链中的任何妥协都可能带来相关攻击。这就是为什么要了解你的软件供应链是如此重要的原因。即使对于低代码/无代码框架也是如此,因为仍然有代码为这些应用程序提供支持。如果框架提供者没有能力管理相关风险,那么最终承担这些风险的就是该框架的使用者了。
— 申请免费试学名额 —
在职想转行提升,担心学不会?根据个人情况规划学习路线,闯关式自适应学习模式保证学习效果
讲师一对一辅导,在线答疑解惑,指导就业!
上一篇:
2022年6月TIOBE编程语言排名:Python、C、Java
下一篇:
2022年毕业生求职找工作青睐哪个行业?
相关推荐 更多
想入IT行业学什么编程语言好?好学吗?
想入行IT行业学什么编程语言好?目前全球来看编程语言成百上千种,对于初学者而言,选择哪个编程语言,成为最大的问题。一般情况下我们选择编程语言的主要标准有:是否好就业、未来薪资水平、入门难易程度三个大的方面。下面就这三个问题考虑为大家解析一下目前相对具有发展潜能的几种编程语言。
5582
2019-08-12 18:32:40
MongoDB教程之基本操作讲解
MongoDB作为灵活丰富的数据库而深受人们的喜爱和欢迎。本文旨在讲解MongoDB,内容包括MongoDB的概念、支持的数据类型列表、与mysql对比、基础操作、增删改查、修改器等等。希望本教程可以带大家全面了解MongoDB数据库。
3976
2019-08-20 13:19:03
互联网行业巨头的职级薪资揭秘
以BAT为代表的互联网行业巨头,其职级薪资一直都为业内所津津乐道。相信大家对BAT的职级薪资都十分好奇,今天小编就来为大家揭秘互联网行业巨头的职级薪资。其实像阿里巴巴、腾讯和百度这样的互联网巨头,其职级规范、等级评定、薪资待遇都是有所区别的。下面我们来分别看看吧!
4842
2019-11-16 17:13:30
网上总说IT行业饱和了是真的吗?
每天我们总能在网上看到有人说:“IT行业早就饱和了,根本找不到工作”。IT行业真的饱和了吗?打开手机里面的招聘软件,搜索IT行业的技术岗位,我们可以看到大量的高薪职位正在招聘。那为什么总有IT行业饱和的言论在肆意流传呢?今天我们就来分析一下:那些年,网上总说IT行业饱和了是真的吗?
4754
2020-07-17 11:51:47
OSI参考模型有多少层?
OSI参考模型是由 ISO(国际标准化组织)制定的,它的作用是提供给开发者一个必须的、通用的概念以便开发完善、可以用来解释连接不同系统的框架。OSI参考模型将计算机网络体系结构划分为以下七层:应用层、表示层、会话层、传输层、网络层、数据链路层以及物理层。网络模型为什么有这么多的层?这些层的作用是什么,它们到底是干什么用的?下面我们就一起来看看吧!
4271
2020-08-11 10:55:08
