风口上的“低代码”:是技术变革?还是另一个风险敞口?

科技云报道原创。

在越来越注重效率的时代,任何轻量化、简洁和高效的工具总会受到人们青睐。

 

从2020年开始,低代码以高效、灵活、稳定的特点成为备受业界青睐的开发模式,无论是资本市场还是企业用户都纷纷追捧。

2021年初,低代码被推上了“风口”,阿里云认为其将引领一场技术“革命”;腾讯云将其视为一种有益的技术手段;高瓴、IDG、华创资本等投资机构将其视为投资新赛道。

在很多IT专业人士眼中,低代码平台的茁壮发展几乎是必然趋势。

随着当前企业数字化转型不断深入,快速、敏捷地开发数字化应用成为了实现业务数字化的关键。

低代码开发为解决企业技术人员短缺、应用开发效率低下、成本高昂等问题提供了新的解题思路。

 

 

然而,低代码开发在为企业打开“方便之门”的同时,也为威胁敞开了后门。企业在享受低代码系统带来的便利时,也往往埋下了系统附带的安全问题隐患。

 

低代码风潮肇始

事实上,通过低代码进行敏捷开发的理念早在30年前就已萌芽。1980年,IBM的快速应用程序开发工具(RAD)就被冠以新的名称——低代码(当时还未被定义)。由此,低代码的概念首次面向大众。

2000年,一家美国公司研究的一项程序可视化编程的项目,做出了4GL“第四代编程语言”,这套编程语言衍生成VPL(Visual Programming Language可视化编程语言)。

2010年,麻省理工重新拾起了这个概念,他们将这一概念运用到了儿童编程领域,由此诞生了风靡全球的Scrath。

直到2014年,研究机构Forrester Research才正式提出了低代码的定义,即利用很少或几乎不需要写代码就可以快速开发应用,并可以快速配置和部署的一种技术和工具。

如今,低代码已经从简单的仪表板发展为复杂的应用程序,功能越来越多样化,得到业界的广泛采用。

2018年,Gartner提出aPaaS和iPaaS的概念。自此,低代码在国外开启了他的狂奔模式,一大批优秀的低代码开发平台涌现出来,OutSystems、Mendix、Kony、Salesforce、App Maker(Google)、PowerApps(Microsoft)等。国外低代码发展的如火如荼时,国内一些公司也意识到了简易的程序开发平台的重要性。从产品类型来看,中国目前的低代码厂商主要分为两类:应用衍生类厂商和原生低代码厂商。

 

 

第一类应用衍生类SaaS厂商的基础能力来源于具体应用或者业务流程领域,擅长提供成熟的应用模板,典型的应用领域包括业务流程管理(BPM)、协同办公、CRM、ERP以及业财分析等。

第二类原生低代码厂商基础能力来源于开发环境和开发工具,擅长增强代码开发能力。这类厂商的发展路径大致为,希望跳过SaaS应用开发这一过程,通过搭建aPaaS平台向用户提供低代码开发服务。代表企业包括国外的Mendix和OutSystems;国内则包括ClickPaaS、宜创科技、明道云、简道云和轻流等。

可以说,低代码开发为企业降低了研发成本、人力成本,提升了效率,缩短了产品交付周期,使企业产品和服务能够以更快的速度进行迭代和优化,并在激烈的市场竞争中脱颖而出。

低代码的风险隐

据艾瑞咨询发布的《2021年低代码行业研究报告》,与2020年相比,中国低代码市场规模将大幅增长至29.3亿元,未来五年,市场规模有望达到131亿元。Gartner预测2024年应用软件开发活动中,65%将通过低代码方式完成,75%的大型企业将用至少四种低代码开发工具开发应用。

但与传统开发相比,低代码涉及各种角色,共同构建应用程序,同时处理自动生成的代码、现成的组件和内置的默认配置。作为一项尚不成熟的技术,低代码仍有一些潜在风险点值得我们关注。

缺乏安全意识。低代码工具的用户很多来自商业背景,一些人员不熟悉应用程序安全最佳实践,并且对潜在的漏洞和安全漏洞缺乏认识和了解。

编码“黑盒”操作。过去,手动编码由一支专业的IT人员和程序员负责编写、检查和测试。虽然这个过程未免漫长且磨人,但至少它所遵循的内在逻辑安全且透明。

但是,低代码开发平台中的组件是“黑盒”,其背后的逻辑并不对外展示,这些组件搭建起来是否相容、适配等均未知。一旦出现问题,企业将无法进行排查和解决。

平台访问和管理控制。低代码集中部署,整个企业的用户可通过浏览器进行访问,这带来了网络入侵风险。比如为未经授权的开发人员提供访问权限,并为远程访问平台时不需要它的用户提供更大的权限。因此,在部署任何低代码系统之前,企业应该限制数据的可访问性。

第三方系统集成风险。第三方集成也会带来一定比例的安全风险,因为大多数低代码开发平台依赖第三方系统来交换或传输数据,而组织无法定期跟进这些数据,从而为业务带来了高风险。而且,大多数第三方系统也使用低代码功能,例如拖放、可视化图形等,这也为企业带来了不可控性。

审核供应商受限。大多数低代码平台安全控件对企业或组织都是可见的,不过也有部分低代码平台供应商不提供其整体平台的管理员访问权限,因此,企业需要使用第三方审核服务来检查安全性,例如使用第三方安全工具、安全和合规性认证、服务水平协议以及网络安全保险等。

因此,对应用程序访问和数据进行保护就显得至关重要。自动生成的代码以及开发人员的远程操作,将使低代码的应用程序更容易受到漏洞的攻击。一个健康的低代码平台应该生成受到全方位保护的应用程序,从而避免遭受网络钓鱼攻击、SQL注入、暴力攻击和DOS攻击,同时还应该提供全面的访问控制机制,以防止未经授权访问数据和应用程序功能。

此外,通过远程团队可以随时随地从任何设备访问应用程序,通过适当的控制来防止数据泄露。

未来,随着模型驱动越来越成为低代码厂商采纳的主要技术路径,低代码技术将日趋成熟,低代码的应用将能够拓展至企业级应用,将更够支持更加复杂的场景。从赋能IT人员到业务使用者、从简单应用到复杂应用,未来越来越多的应用场景将被挖掘,低代码的空间也将更加广阔。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

为您推荐