图片96

无代码工具和平台使用拖动界面，允许业务分析师和其他非编程人员创建或修改应用程序。在某些情况下，编码（低代码）可能需要与其他应用程序集成。生成报告或修改用户界面。这通常是用SQL或Python等高级编程语言完成的。

以下是使用此类平台时应注意的四个最重要的安全问题。

1、低代码/无代码应用程序可见性低。

使用外部开发的平台总是会带来可见性问题。许多人使用这些软件，但他们不知道源代码。平台所经历的潜在测试和严格性。

这可以通过向供应商申请软件材料清单（SBOM）来缓解。这将对软件组件及其相关漏洞漏洞的深入了解。最新的Linux基础研究表明，78%的企业计划在2022年使用软件材料清单（SBOM）。然而，软件材料清单（SBOM）的使用仍在发展中，行业仍有很大的发展空间来规范实践、流程和工具。

2、代码不安全。

不安全代码的可能性与可见性问题一致。低代码和无代码平台仍然有代码。他们只是抽象了代码，并允许最终用户使用提前提供的代码功能。这很好，因为它使非开发人员不需要自己编写代码。当使用的代码不安全，并通过低代码和无代码平台在企业和应用之间推断时，就会出现问题。

解决这个问题的一种方法是与平台供应商合作，要求平台中使用的代码的安全扫描结果。静态和动态应用程序安全测试（SAST/DAST）等扫描结果可以为消费者提供一定程度的保证，即他们不仅复制不安全的代码。除了企业控制，创建代码的想法不是一个新概念，在开源软件的使用中也很常见。超过98%的企业使用开源软件，与其他存储库相关的软件供应链威胁也很常见，如基础设施代码（IAC）模板。

另一个需要考虑的方面是，许多低代码和非代码平台都是通过SaaS交付的。这使得企业可以向供应商申请ISO、SOC2、Fedramp等行业认证。这进一步保证了SaaS应用/平台本身的运营和安全控制。

SaaS应用程序本身存在许多安全风险，需要适当的治理和严格的安全性。如果不适当审查企业使用的SaaS应用程序和平台，其业务可能面临不必要的风险。

3、失控的影子IT。

由于低代码和无代码平台允许快速创建应用程序，即使是没有开发背景的人也可能导致阴影IT的泛滥。当业务部门和员工创建应用程序并将其应用于企业内部或外部时，阴影IT会发生。这些应用程序可能包含企业和客户敏感或受监管的数据。如果这些应用程序在数据泄露过程中受损，可能会对企业产生一系列影响。

4、业务中断。

从业务连续性的角度来看，如果平台中断，服务交付的低代码和无代码平台可能会中断业务。对于企业来说，为关键业务应用程序（包括低代码和无代码平台）建立服务水平协议（SLA）非常重要。