低代码开发平台彻底革新了我们构建个性化商业解决方案的手段,无论是应用程序、工作流程还是智能辅助工具,这些革新工具极大地增强了非专业开发者——即所谓的“公民开发者”的能力,为应用开发带来了前所未有的灵活性。
随着人工智能的融入,这些工具的能力得到了质的飞跃。面对组织内部专业人才的短缺,以及构建大量应用和自动化所需的技能和时间的双重挑战,低代码/无代码开发模式应运而生,解决了这一难题。如今,即便是没有接受过正规技术培训的公民开发者,也能通过直观的平台和先进的生成式AI技术,轻松地创建、创新和实施由AI驱动的解决方案。
然而,这种便捷的开发方式是否足够安全?事实上,它确实带来了一系列新的安全风险。但不必过于担忧,因为安全与效率并不是非此即彼的选择题。通过采取恰当的措施,我们可以在保障安全性的同时,享受业务创新带来的高效率。
01
IT和安全团队的工作转变
IT和安全团队通常专注于通过扫描和审查代码来发现潜在的安全漏洞。他们的工作重点在于确保开发人员编写的软件是安全的,并在软件部署后持续监控,以检测任何异常或可疑的活动。
然而,随着低代码和无代码开发技术的流行,越来越多的人开始参与到应用程序的构建和自动化开发中来,这些活动常常绕开了传统的软件开发流程。许多参与其中的员工可能缺乏软件开发的专业背景,他们开发的应用程序往往不在安全团队的监控和控制之下。
这种情况导致了一个结果:IT部门不再负责组织内所有的软件开发工作,安全团队对开发过程的可见性和控制力也随之减弱。在大型组织中,专业开发团队一年可能开发数百个应用;而采用低代码/无代码技术后,这个数字可能会急剧增加。这意味着许多新开发的应用程序可能没有得到安全团队的足够关注或适当监控,从而增加了安全风险。
02
新的潜在安全问题
与低代码/无代码开发相关的一些潜在安全问题包括:
1.不在IT的监管范围内 :公民开发者在IT监管范围之外活动,导致安全可见性的缺失,影子应用的开发难以追踪。低代码/无代码工具的易用性让大量人员能够快速创建应用,IT部门难以全面掌握这些应用的具体情况。
2.缺乏标准化开发流程:缺少软件开发生命周期(SDLC)可能导致开发流程的不一致性、混乱,以及问责机制的缺失,增加了安全风险。
3.技术经验不足的开发者:由于许多构建应用的人员缺乏必要的技术技能和经验,他们可能未能充分考虑到应用的安全性和潜在的开发风险。一旦某个广泛使用的组件存在漏洞,可能会在多个应用实例中被利用。
4.权限管理的不确定性:身份管理的不明确可能导致权限滥用。如果业务用户因权限不足而受阻,他们可能会借用他人的身份进行开发,这使得事后审计和责任归属变得复杂。
5.代码追溯的难题:低代码/无代码平台生成的应用缺乏可供安全团队扫描和分析的代码,这减少了透明度,阻碍了故障排除、调试和安全分析,也可能引发合规性和监管问题。
所有这些风险都可能导致潜在的数据泄露。无论应用程序是如何构建的,无论是通过拖放、基于文本的提示还是代码,它都有身份,可以访问数据,可以执行操作,并且需要与用户通信。数据经常在组织的不同地方之间移动;这很容易打破数据边界或障碍。
数据隐私和合规性也处于危险之中。敏感数据位于这些应用程序中,但它是由不知道(甚至没有想到)如何正确存储它的业务用户处理的。这可能导致包括合规违规在内的许多其他问题。
03
安全监管盲点的对策
如上所述,在低代码/无代码开发模式下,IT和安全团队面临的一大挑战是,这类开发活动往往不在其监管范围之内。这导致了数据在不同应用程序间的流动变得难以追踪,而且很难弄清楚究竟是谁在创建这些应用程序,以及这些应用程序的具体情况如何。在许多组织中,可能并不完全了解低代码/无代码开发的实际应用情况,甚至可能误以为这种开发活动在组织内并不存在,但实际上,它很可能已经在进行中了。
那么,安全领导者该如何重新获得控制权并降低相关风险呢?
首要步骤是深入了解组织内部的公民开发者活动,识别出这些活动的领导者,并与他们建立联系。安全团队的目标不应该是惩罚或限制这些团队,而是要提供必要的支持,同时通过教育和指导,帮助他们更安全地进行开发。
安全性的建立必须从提高可见性开始。这意味着需要建立一个完整的应用程序清单,明确了解每个应用程序的构建者和构建内容。这些信息对于在发生安全违规时追溯事件、查明原因至关重要。
此外,还需要构建一个明确的安全开发框架,包括必要的政策和技术控制措施,以引导用户做出安全的开发选择。即便是专业的开发者在处理敏感数据时也可能犯错,对于业务用户来说,这一点更是难以控制。但通过实施恰当的控制措施,可以最大限度地减少错误的发生。
最后,传统的人工编码方式在推动创新方面存在局限,尤其是在市场竞争激烈、产品上市时间紧迫的情况下。当前的低代码和无代码平台让没有开发背景的人也能轻松创建AI驱动的解决方案,这无疑简化了应用开发过程。然而,这种便利性也可能给组织的安全性带来风险。但安全与公民开发并不是非此即彼的选择。安全领导者可以与业务用户携手合作,共同寻找一个既能促进创新又能保证安全的平衡点。
– END –
报告下载
大佬观点