低代碼與無代碼開發的四個安全隱患

低代碼與無代碼開發的四個安全隱患是：

• 缺乏可見性

  低代碼和無代碼開發的最大挑戰之一是，企業可能很難掌握他們的員工在構建什么。使用外部開發的平臺總是會有可視性問題。企業只是在使用軟件，但不知道源代碼是怎樣的、相關的安全隱患或者平臺已經完成的測試情況和出現的問題。Juniper Networks的研究主管穆尼爾·哈爾德(Mounir Hahad)表示，部分原因與影子it的整個問題有關。“我們聽到的大多數影子IT都與影子開發有關，”他說。“通常，當員工在公司IT部門建立公共云基礎架構(無論是存儲還是計算)時，通常會伴隨一些允許在云中處理數據的應用程序。”內部低代碼平臺會給企業帶來同樣的可見性問題。

  這個問題可以通過向供應商索要一份SBOM（軟件物料清單）來緩解。SBOM能夠提供關于其所有的軟件組件信息以及其相關漏洞。SBOM的使用數量正在上升，最近Linux Foundation的研究顯示，78%的組織計劃在2022年使用SBOM。這表示，SBOM的使用正在逐漸成熟，行業對操作、流程和工具還有很大的優化空間。

• 不安全的代碼

  和可視性相對應的是代碼的安全性問題。低代碼和無代碼平臺依然會有代碼存在：只不過這些是抽象的代碼，讓終端用戶可以直接使用預設的代碼功能。這對非開發者來說無疑是一個福音，因為他們不必再自己寫代碼了。但是問題就在，使用的代碼可能是不安全的，并且可能會通過低代碼和無代碼平臺跨組織、跨應用進行傳播。

  解決方式之一是和平臺供應商合作，要求平臺中使用代碼的安全掃描結果。SAST和DAST的掃描結果能夠給客戶一定的保證，確保他們不是在復制那些不安全的代碼。在組織控制之外創建的代碼不是什么新鮮事，在開源軟件大量使用的時代十分常見。有近98%的組織使用開源代碼，同時還伴隨著如基礎設施即代碼（infrastructure-as-code, IaC）模板等其他供應鏈相關威脅。

  另一個需要考慮的方面，在于許多低代碼和無代碼平臺通常都是SaaS化提供。這就需要向供應商要求像ISO、SOC2、FedRAMP等其他行業證明。這些能夠給組織的運營和安全控制提供更進一步的保障。SaaS應用本身也會呈現出許多安全風險，需要適當的治理和安全控制。如果對使用的SaaS應用和平臺不進行管制，組織就可能會暴露在風險之下。如果低代碼和無代碼平臺開發的應用會暴露組織或者客戶的敏感數據，就會加劇這種風險。

• 業務中斷

  從業務連續性角度看，依賴低代碼和無代碼平臺的服務可能在平臺發生中斷時，打斷自身的業務。組織需要和包括低代碼和無代碼平臺的供應商，為業務關鍵應用建立SLA。在許多情況下，企業可能看不到低代碼或無代碼平臺供應商提供的代碼和安全控制。為了了解這些供應商的安全性，公司需要依靠他們已經擁有的工具——第三方安全審計、安全和合規性認證、服務水平協議和網絡安全保險。一些低代碼供應商正試圖讓事情變得更加透明。

  轉移到沒有這種透明度的低代碼和無代碼開發平臺會從安全團隊那里拿走一些控制權。這并不一定意味著安全性會受到影響。如果用戶想要一個應用程序，最好使用標準平臺來構建它，而不是自己開發代碼。如果在他們的組件中發現了漏洞，平臺供應商將推出一個補丁，它將更新所有使用這些組件的應用程序。

• 無法監管的影子IT

  由于低代碼和無代碼平臺允許沒有開發背景的人快速創建應用，這就會導致影子IT泛濫。影子IT在業務部門和人員創建的應用同時暴露在內部和外部的時候發生。這些應用可能有組織、客戶或者監管的敏感數據，從而一旦發生泄漏事件，就會對組織形成一系列的負面影響。

回答所涉及的環境：聯想天逸510S、Windows 10。