Gartner 還預(yù)測，在疫情期間遠程開發(fā)的激增將繼續(xù)推動低代碼的采用，盡管削減了預(yù)算并努力優(yōu)化了成本。

[[396830]]

低代碼開發(fā)在開發(fā)者群體中的受歡迎程度

低代碼早已不再是新鮮的概念。從簡單的儀表板到復(fù)雜的應(yīng)用程序，低代碼應(yīng)用程序正變得越來越多樣化，并在企業(yè)界得到了廣泛的采用。從本質(zhì)上講，低代碼是應(yīng)用程序開發(fā)的一種可視化范例，它涉及拖放預(yù)構(gòu)建的組件和集成，從而實現(xiàn)了快速，輕松且不易出錯的開發(fā)。

低代碼的優(yōu)勢在于，它使非傳統(tǒng)開發(fā)背景的用戶能夠參與應(yīng)用程序開發(fā)過程，從而降低開發(fā)門檻并加快項目進度。隨著組織在資源有限和開發(fā)人員稀缺的情況下滿足不斷增長的數(shù)字化需求，這也縮小了供需缺口。與傳統(tǒng)的開發(fā)范式相比，低代碼平臺的出現(xiàn)使泛開發(fā)人員(例如業(yè)務(wù)分析師，業(yè)務(wù)線用戶，初級開發(fā)人員)易于構(gòu)建應(yīng)用程序，同時大大縮短了交付時間。

但是，為泛開發(fā)人員提供的生產(chǎn)力和速度并不是低代碼開發(fā)的唯一好處。如今，低代碼開發(fā)平臺還具有專門為從企業(yè) IT 團隊到 ISV 的專業(yè)開發(fā)人員而構(gòu)建的功能。這些平臺經(jīng)過強化，可用于企業(yè)用途，能夠利用復(fù)雜應(yīng)用程序的可伸縮性和安全性需求，并且具有足夠成熟的集成功能，可以無縫地與現(xiàn)有工具和技術(shù)配合使用。

在疫情爆發(fā)期間，許多企業(yè)通過采用低代碼平臺和應(yīng)用程序進行了重塑，從而幫助他們適應(yīng)了突然轉(zhuǎn)移到遠程工作場景并滿足隨之而來的必要現(xiàn)代應(yīng)用程序需求。

低代碼和遠程工作帶來的安全挑戰(zhàn)

與傳統(tǒng)開發(fā)相比，低代碼涉及各種角色，共同構(gòu)建應(yīng)用程序，同時處理自動生成的代碼、現(xiàn)成的組件和內(nèi)置的默認配置。環(huán)境的這種變化揭示了一些需要解決的獨特挑戰(zhàn)。建立在低代碼上的遠程團隊面臨一些常見的安全挑戰(zhàn)。

應(yīng)用程序開發(fā)和遠程團隊協(xié)作

• 缺乏安全意識：低代碼工具的用戶很多來自商業(yè)背景，一些人員不熟悉應(yīng)用程序安全最佳實踐，并且對潛在的漏洞和安全漏洞缺乏認識和了解。
• 平臺訪問和管理控制：低代碼集中部署，可通過瀏覽器訪問供整個企業(yè)中的用戶使用。這帶來了網(wǎng)絡(luò)入侵的風(fēng)險。比如為未經(jīng)授權(quán)的開發(fā)人員提供訪問權(quán)限，并為遠程訪問平臺時不需要它的用戶提供更大的權(quán)限。
• 代碼存儲庫和團隊協(xié)作：低代碼平臺必須確保自動生成的代碼可以提交給企業(yè)認可的存儲庫。不應(yīng)濫用此代碼訪問權(quán)限，并且應(yīng)該具有適當(dāng)?shù)膮f(xié)議來進行代碼控制和升級。

代碼生成和 DevSecOps 最佳實踐

• 保護自定義代碼：低代碼工具允許編寫自定義代碼，以擴展和實施平臺編碼準(zhǔn)則和設(shè)計模式，以保護敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問。
• 遵循安全的發(fā)布慣例：與現(xiàn)有的企業(yè) CI/CD 管道集成非常重要，因此開發(fā)團隊可以在生產(chǎn)之前將相同的發(fā)布管理協(xié)議擴展到自動生成的代碼。

應(yīng)用程序訪問和數(shù)據(jù)保護

• 防止惡意攻擊：如今，Web 和移動應(yīng)用程序都日益成為安全漏洞的目標(biāo)。自動生成的代碼以及公民開發(fā)人員可以遠程工作，可以使低代碼的應(yīng)用程序更容易受到漏洞的攻擊。平臺應(yīng)生成完全受到網(wǎng)絡(luò)釣魚攻擊，SQL 注入，暴力攻擊和 DOS 攻擊保護的應(yīng)用程序。
• 安全的數(shù)據(jù)和應(yīng)用程序訪問：低代碼平臺應(yīng)提供全面的訪問控制機制，以防止未經(jīng)授權(quán)訪問數(shù)據(jù)和應(yīng)用程序功能。通過遠程團隊隨時隨地從任何設(shè)備訪問應(yīng)用程序，可以通過適當(dāng)?shù)目刂苼矸乐箶?shù)據(jù)泄露。

低代碼和安全性 —— 發(fā)展的未來

隨著企業(yè)和 ISV 在更重要的業(yè)務(wù)中轉(zhuǎn)向低代碼，更大的問題仍然存在。低代碼平臺是否可以使現(xiàn)代開發(fā)團隊更快地交付應(yīng)用程序，同時仍能實現(xiàn)安全且嚴格控制的環(huán)境?答案是，是的，他們可以!但是，開發(fā)團隊在考慮低代碼平臺時必須考慮以下安全檢查表：1、所選的低代碼平臺必須在企業(yè)安全的 DMZ 或安全的私有云中建立，并且必須毫不費力地通過網(wǎng)絡(luò)安全許可。

2、該平臺必須對自動生成的代碼以及開發(fā)人員編寫的自定義代碼實施最佳的編程實踐(編碼約

定，設(shè)計模式和數(shù)據(jù)加密)，以簡化與現(xiàn)有 CI/CD 流程和工具的集成。

3、該平臺必須針對 Web 和移動應(yīng)用程序的十大 OWASP 漏洞提供全面保護，并擁有第三方認證以保證代碼質(zhì)量和安全性。此外，組織應(yīng)確保所選平臺的二進制文件以及 CVE 庫中列出的所有第三方依賴項(包括開源庫)中均不存在漏洞。

4、該解決方案必須支持多個身份驗證提供程序(數(shù)據(jù)庫，LDAP，AD，SSO，SAML，Open-ID，多因素，生物識別)，以構(gòu)建具有強大用戶安全性的應(yīng)用程序。對于用戶授權(quán)，請確保同時支持粗粒度訪問控制策略和細粒度訪問控制策略，以保護基于 RBAC 的應(yīng)用程序的各個方面。

開發(fā)團隊可以采用低代碼技術(shù)，同時確保適當(dāng)?shù)陌踩罴褜嵺`。低代碼將保留下來，并且借助正確的平臺，企業(yè)和 ISV 可以確保在開發(fā)過程的早期就將安全性向左轉(zhuǎn)移并由開發(fā)人員解決。結(jié)果是高效率的遠程勞動力生產(chǎn)出了現(xiàn)代，可擴展和安全的應(yīng)用程序。