0


引入AI+低代码开发,企业面临新的安全挑战?

低代码开发因为可视化、拖拉拽的开发模式,大幅降低软件开发门槛,并带来效率的明显提升。从长远来看,它也在改变着开发者这一群体和企业IT团队的工作模式。

据国内低代码行业媒体“LowCode低码时代”报道:即便是没有接受过正规技术培训的公民开发者(此处指非专业开发者),也能通过直观的平台和先进的生成式AI技术,轻松地创建、创新和实施由AI驱动的解决方案。

然而,这种便捷的开发方式是否足够安全?

低代码试用地址:https://codewave.163.com/home/CodeWaveparent/officialWebsite

图片

IT和安全团队通常专注于通过扫描和审查代码来发现潜在的安全漏洞。他们的工作重点在于确保开发人员编写的软件是安全的,并在软件部署后持续监控,以检测任何异常或可疑的活动。

然而,随着低代码和无代码开发技术的流行,越来****越多的人开始参与到应用程序的构建和自动化开发中来,这些活动常常绕开了传统的软件开发流程。许多参与其中的员工可能缺乏软件开发的专业背景,他们开发的应用程序往往不在安全团队的监控和控制之下。

这种情况导致了一个结果:IT部门不再负责组织内所有的软件开发工作,安全团队对开发过程的可见性和控制力也随之减弱。在大型组织中,专业开发团队一年可能开发数百个应用;而采用低代码/无代码技术后,这个数字可能会急剧增加。这意味着许多新开发的应用程序可能没有得到安全团队的足够关注或适当监控,从而增加了安全风险。

因此,“LowCode低码时代”提出企业可能遇到的IT监管难、缺乏标准化开发流程、开发者经验不足、权限管理不足、代码追溯难等五大问题。

而对于这五大问题,CodeWave智能开发平台也已经通过源码可导出、多人协作等能力提早做出有效解决方案

图片

与低代码开发相关的一些潜在安全问题包括:

*** 1. ***挑战:不在IT的监管范围内

公民开发者在IT监管范围之外活动,导致安全可见性的缺失,影子应用的开发难以追踪。低代码工具的易用性让大量人员能够快速创建应用,IT部门难以全面掌握这些应用的具体情况。

网易CodeWave的解决方案:

  • 在平台上开发的应用是基于传统语言框架生成,并且可以脱离平台独立运行。同时,因为平台提供开放能力,让开发的应用能够对接企业本身的DevOps体系,也就可以被纳入IT监管范围,接入到企业合规的标准研发流程中。
  • 另一方面,平台可以通过环境隔离进行管控,让公民开发者开发的应用无法随意生产,甚至脱离监管。

*** 2. ***挑战:缺乏标准化开发流程

缺少软件开发生命周期(SDLC)可能导致开发流程的不一致性、混乱,以及问责机制的缺失,增加了安全风险。

网易CodeWave的解决方案:

  • 沿用传统开发工具中的优秀实践,比如借鉴传统开发工具独立运行和调试的环境,CodeWave智能开发平台实现基于副本模式的“多人协作开发”,保留并简化了代码仓库、代码分支的管理实践,让降低开发门槛的同时,保证开发效率和安全性。
  • 在“多人协作”能力下,平台提供代码分支管理、代码拉取和推送的记录仪,操作日志可以追溯到开发者的操作,完全贴合软件开发流程,生成的源码在git上也能追溯提交者;平台提供的操作栈记录功能,能够记录用户最细粒度的操作,利于追溯、定位问题。

图片

*** 3. ***挑战:开发者技术经验不足

在新的模式下,许多构建应用的开发者缺乏必要的技术技能和经验,他们可能未能充分考虑到应用的安全性和潜在的开发风险。一旦某个广泛使用的组件存在漏洞,可能会在多个应用实例中被利用。

网易CodeWave的解决方案:

  • 平台具备一套安全的开发框架,保障产出应用的高安全性,经实践验证,应用源码能达到****金融行业的安全标准;同时使用的开源框架一旦出现安全漏洞,开发者可以通过源码工程模板或翻译器插件快速修复。
  • 平台在交付时,要将提供配套的开发标准规范,尽可能减少不符合安全最佳实践的开发行为。
  • 平台具备智能分析功能,自动化检测开发者的危险编程操作,可以自动检测如频繁操作实体、频繁调用接口等不合理行为,并给出最佳实践的建议。根据开发者实际的需求,智能检测的场景还在陆续增加。

图片

*** 4. ***挑战:权限管理的不确定性

身份管理的不明确可能导致权限滥用。如果业务用户因权限不足而受阻,他们可能会借用他人的身份进行开发,这使得事后审计和责任归属变得复杂。

网易CodeWave的解决方案:

身份安全:

  • 平台支持企业级私有化部署,可以对接企业的身份认证中心,从而纳入统一的身份管理,不会对企业造成额外的管理负担。
  • 在SaaS版中,平台通过手机号验证码等机制,确保使用者为本人身份验证登录。
  • 平台登录后也具有身份过期时间的限制,以及禁止一个账号多处登录的踢出机制。

高低协作机制:

  • 业务开发者产出应用、专业开发者产出资产,在平台上有明确的分工。当业务用户的需求无法满足时,专业开发者会通过脚手架工具提供满足需求的资产,不需要进行身份的借用。

*** 5. ***挑战:代码追溯存在难题

低代码/无代码平台生成的应用缺乏可供安全团队扫描和分析的代码,这减少了透明度,阻碍了故障排除、调试和安全分析,也可能引发合规性和监管问题。

网易CodeWave的解决方案:

  • 平台支持产出前后端源码,源码符合主流技术栈框架和语言规范,满足企业IT安全团队扫描,开发者甚至可以定制工程模板和翻译规则。
  • 通过翻译器,平台支持企业自身定制源码导出规则,能够要求生成的代码符合企业本身的源码工程规范和技术框架要求。

在提升研发效率,提供便利性的同时,新的软件生产流程与模式也需要新的安全应对措施、机制作为保障。CodeWave智能开发平台仍在不断提升、优化,助力客户创新的同时,保证软件生产环节安全

图片


*** 现在即可了解&试用 ***:https://codewave.163.com/home/CodeWaveparent/officialWebsite


本文转载自: https://blog.csdn.net/Sharn0718/article/details/139005001
版权归原作者 网易CodeWave-小码哥 所有, 如有侵权,请联系我们删除。

“引入AI+低代码开发,企业面临新的安全挑战?”的评论:

还没有评论