2021年初，和許多新技術一樣，低代碼（Low-code）開發(fā)被推上了“風口”：阿里云認為低代碼開發(fā)將是一場“革命”；騰訊云將低代碼視為一種有益的技術手段，并與Mendix（被西門子收購）展開了深度合作；高瓴、IDG、華創(chuàng)資本等投資機構將低代碼視為投資新賽道，據(jù)統(tǒng)計，2020年1月-2021年8月，僅中國國內(nèi)就有至少15個低代碼平臺獲得超20家主流機構的投資。

　　以上統(tǒng)計數(shù)據(jù)引自《財經(jīng)》報道

　　Gartner數(shù)據(jù)顯示，2020年，全球低代碼市場規(guī)模達84億美元，預計在2021年將超過百億美元。到2025年，全球低代碼市場規(guī)模將達到471億美元，復合增長率將達到41%，而且70%的新應用將由低代碼或無代碼技術完成開發(fā)。

　　然而，低代碼開發(fā)在為企業(yè)打開“方便之門”的同時，也為威脅敞開了后門。企業(yè)在享受低代碼系統(tǒng)帶來的便利時，也往往埋下了系統(tǒng)附帶的安全問題隱患。

　　低代碼的誕生

　　事實上，通過低代碼進行敏捷開發(fā)的理念早在30年前就已萌芽。21世紀初，歐洲誕生了兩家低代碼創(chuàng)業(yè)公司——葡萄牙的Outsystems以及荷蘭的Mendix。它們也是目前公認的低代碼開發(fā)拓荒者和領導者。

　　只是，Outsystem和Mendix誕生后的很長一段時間，該項技術被稱為“敏捷開發(fā)平臺”。直至2014年，研究機構Forrester Research才正式提出了低代碼的定義，即利用很少或幾乎不需要寫代碼就可以快速開發(fā)應用，并可以快速配置和部署的一種技術和工具。如今，低代碼已經(jīng)從簡單的儀表板發(fā)展為復雜的應用程序，功能越來越多樣化，得到業(yè)界的廣泛采用。

　　低代碼開發(fā)讓企業(yè)組織看到了“降本、增效、提質”的可能性。它使非技術用戶能夠在數(shù)小時或數(shù)天內(nèi)生成出色的業(yè)務應用程序。據(jù)Creatio調查結果顯示，在接受采訪的1000位開發(fā)高管中，95%的人認為低代碼開發(fā)速度相對于傳統(tǒng)方式有提高，其中 61%的高管認為提高速度在40%以上。

　　可以說，低代碼開發(fā)為企業(yè)降低了研發(fā)成本、人力成本，提升了效率，縮短了產(chǎn)品交付周期，使企業(yè)產(chǎn)品和服務能夠以更快的速度進行迭代和優(yōu)化，并在激烈的市場競爭中脫穎而出。

　　低代碼開發(fā)風險

　　不過，作為一項尚不成熟的技術，機遇與挑戰(zhàn)總是相伴而生。

　　1. 缺乏可見性

　　全民開發(fā)人員（citizen developer）隨意構建應用程序會危及企業(yè)業(yè)務安全，IT部門很難跟蹤員工開發(fā)的應用程序，甚至一些應用程序還為惡意軟件和黑客提供訪問業(yè)務和客戶數(shù)據(jù)的“后門”。

　　過去，手動編碼由一支專業(yè)的IT人員和程序員負責編寫、檢查和測試。雖然這個過程未免漫長且磨人，但至少它所遵循的內(nèi)在邏輯安全且透明。但是，低代碼開發(fā)平臺中的組件是“黑盒”，其背后的邏輯并不對外展示，這些組件搭建起來是否相容、適配等均未知。一旦出現(xiàn)問題，企業(yè)將無法進行排查和解決。

　　即便是進行排查，這一過程不僅成本高昂，還會催生更多的“影子IT”，尤其是對那些完全依賴全民開發(fā)人員的組織而言。企業(yè)將很難注意到或跟進全民開發(fā)人員使用低代碼構建或修改的內(nèi)容。影子IT無疑會給企業(yè)增加額外成本，種種成本相加或許要比手動編碼更多。

　　2. 數(shù)據(jù)可訪問性（即對數(shù)據(jù)訪問的許可和控制）

　　低代碼開發(fā)平臺是集中部署的，整個企業(yè)的用戶可通過瀏覽器進行訪問，這會帶來網(wǎng)絡入侵的風險。比如為未授權的開發(fā)人員提供訪問權限，并為遠程訪問中不需要它的用戶提供更大權限。因此，在部署任何低代碼系統(tǒng)之前，企業(yè)應該限制數(shù)據(jù)的可訪問性。

　　IT部門可以通過邊界防護產(chǎn)品，限制對所有關鍵數(shù)據(jù)的訪問行為。另外，還可以設置僅對企業(yè)家、IT 團隊或核心圈子可用的強安全代碼，這樣其他任何需要業(yè)務信息的人，都需要獲得批準或通過驗證，才能獲得數(shù)據(jù)，此舉可以有效遏制影子IT。

　　控制數(shù)據(jù)訪問，不僅可以幫助企業(yè)減少隱藏業(yè)務產(chǎn)生的額外成本，而且還可以輕松地將公共、私有內(nèi)容分開，更好地保護企業(yè)的內(nèi)部數(shù)據(jù)，這對業(yè)務交易至關重要。

　　3. 第三方集成的風險

　　第三方集成同樣帶來了一定比例的安全風險，因為大多數(shù)低代碼開發(fā)平臺依賴第三方系統(tǒng)來交換或傳輸數(shù)據(jù)，而組織無法定期跟進這些數(shù)據(jù)，從而為業(yè)務帶來了高風險。而且，大多數(shù)第三方系統(tǒng)也使用低代碼功能，例如拖放、可視化圖形等，這也為企業(yè)帶來了不可控性。

　　此外，傳輸風險很有可能不是在低代碼系統(tǒng)和第三方平臺中，而是包含在其他代碼庫源中。因此，系統(tǒng)中任何錯誤操作或缺陷都將使企業(yè)的數(shù)據(jù)面臨風險，也很容易被黑客入侵，一旦系統(tǒng)受到威脅，恢復組織系統(tǒng)或客戶詳細信息將極具挑戰(zhàn)性。

　　4. 審核供應商系統(tǒng)存在問題

　　大多數(shù)低代碼平臺安全控件對企業(yè)或組織都是可見的，不過，也有部分低代碼平臺供應商不提供其整體平臺的管理員訪問權限，因此，企業(yè)需要使用第三方審核服務來檢查安全性，例如使用第三方安全工具、安全和合規(guī)性認證、服務水平協(xié)議以及網(wǎng)絡安全保險等等。

　　值得注意的是，無法提供安全細節(jié)的低代碼平臺，會使組織和安全部門變得異常依賴第三方工具，但是這些工具很有可能會存在缺陷，甚至非常糟糕。因此，建議組織選擇在安全系統(tǒng)中提供透明度的低代碼平臺。

　　現(xiàn)在，有不少低代碼供應商通過提供可訪問和透明的審計方法來改進其服務，如此一來，企業(yè)或組織將能夠消除在第三方工具上的昂貴支出。

　　低代碼安全建議

　　開發(fā)團隊在部署低代碼平臺前，可考慮以下安全建議：

　　1、在實施低代碼平臺之前，讓IT和安全部門參與。IT部門、安全和開發(fā)團隊對低代碼平臺進行充分了解和分析，這將有助于檢查平臺中的漏洞，以及它們對企業(yè)或組織的有效性。

　　2、確保API安全性。組織往往會忽視API安全性，然而，在實行低代碼平臺或管理任何數(shù)字資產(chǎn)時，API安全性都是必不可少的。

　　3、評估低代碼供應商。一旦組織同意使用低代碼平臺，就需要仔細審查有關供應商的每一個細節(jié)。具體如下：

　　所選的低代碼平臺必須設置在企業(yè)安全的DMZ或私有云中，并且必須毫不費力地通過網(wǎng)絡安全許可；

　　該平臺必須對自動生成的代碼以及開發(fā)人員編寫的自定義代碼，實施最佳編程方案（編碼約定，設計模式和數(shù)據(jù)加密），以簡化與現(xiàn)有CI/CD流程和工具的集成；

　　該平臺必須針對Web和移動應用程序Top 10 OWASP漏洞提供全面保護，并具有第三方認證以保證代碼質量和安全性。此外，組織還應確保所選平臺的二進制文件以及CVE庫中列出的所有第三方依賴項（包括開源庫）中均不存在漏洞；

　　該解決方案必須支持提供多個身份驗證程序（數(shù)據(jù)庫，LDAP，AD，SSO，SAML，Open-ID，多因素，生物識別），以構建具有強大用戶安全性的應用程序。對于用戶授權，請確保同時支持粗粒度訪問控制策略和細粒度訪問控制策略，以保護基于RBAC應用程序的各個方面。

　　一套真正意義上的低代碼平臺，必須能夠覆蓋軟件研發(fā)全生命周期，實現(xiàn)工業(yè)級的效率提升。我們期待著，在業(yè)已成熟的軟件開發(fā)領域，能產(chǎn)生一次生產(chǎn)力大變革。