DevSecOps适用于低代码/无代码环境

Daniel Riedel, Copado战略服务高级副总裁,负责向企业客户提供DevSecOps功能。近日分享了他们的看法:

She gets it done whatever the hour

虽然低代码/无代码带来的一切令人惊讶——从降低开发人员的准入门槛到为企业提供更容易实现新流程的方式——但它并非没有风险。低代码并不意味着可以忽略遵从性和安全性的挑战。事实上,它可能会给开发人员一种错误的安全感,因为他们认为云生态系统的共享责任模式会拯救他们。

低代码是如何重新定义开发的

有人说,互联网之所以伟大,和它之所以糟糕的原因是一样的——任何人都可以畅所欲言。这句话也适用于低代码/无代码。对整个软件开发过程进行抽象是很好的,因为它有助于降低进入一个蓬勃发展的职业生涯的门槛。发展不再是少数精英的特权。这种对用户友好的软件开发方法已经让象牙塔崩溃,创造了一支准备尝试自己创作的公民开发者大军。这对企业也很有好处。数字转型的快速加速只会凸显工程人才的需求和获取之间的差距。低代码/无代码,企业可以在内部培养自己的人才。

低代码是一个近10年前的术语,但它现在处于加速的顶点。然而,这种速度带来了风险。我们每天都在阅读有关网络安全威胁的文章,低代码并不能与这些威胁绝缘。事实上,它的风险可能更大。无论他们是低代码开发人员还是传统的软件工程师,这仍然是他们的代码和责任。如果他们处理的是金融和医疗等监管严格的行业,他们就有非常现实的合规风险,需要对他们进行培训,而且必须给他们正确的工具来正确地执行工作。

低代码/无代码开发人员及其团队可能没有所需的培训和支持,无法部署支持业务的应用程序。业务需要用最好的工具和知识武装他们,这样他们就可以利用低代码/无代码的能力,而不会让业务受到伤害

建立护栏

1908年,福特公司推出了t型车。在此之前,人们几乎无法控制自己的出行路线。本地长途汽车没准时吗?艰难的运气。T型车是第一款经济型汽车,它消除了这一出行障碍。现在,个人可以成为自己的司机和售票员。不幸的是,较低的准入门槛也为风险打开了大门。在Model T发布后的第一个夏天,仅在底特律地区就有几十人在车祸中严重受伤。就像T型车给大众带来了负担得起的旅行和革命性的行业一样,我们也看到了低代码/无代码的情况——但我们也看到了同样的问题。这两种情况都是创新超过了准备。人们可能错误地认为没有代码就等于没有错误。这是一种危险的想法。低代码并不意味着低安全性或低遵从性问题。他们仍然在创造各种形式的逻辑,而所有的逻辑都有缺陷。

如果有的话,低代码/无代码会造成一种虚假的安全感。它会导致开发人员错过在传统环境中不会忽略的关键步骤。对于安全的低代码/无代码,并没有统一的最佳实践集。即使是技术安全标准权威机构——美国国家标准与技术研究所(NIST)也仍在研究这一课题,目前还没有明确的方向。在很少的指导下,我们将需要依赖传统工程的最佳实践,如DevSecOps。低代码/无代码开发人员可能喜欢流线型的流程,但他们仍然需要在安全性和遵从性方面的培训和帮助。就像1908年的汽车工业一样,我们需要开始建立道路规则,这将体现为低代码开发的最佳实践。DevSecOps原则以自动化的检查和平衡为中心,可以成为允许开发人员安全地创建程序的护栏。

低安全标准建筑:

开发人员仍然要对他们在软件即服务(SaaS)平台上构建的程序的所有安全性和遵从性需求负责,但他们可能高估了在这些共享责任模型下得到的保护。SaaS平台只解决了问题的一半。如果开发者在没有意识到的情况下引入了缺陷,他们的创造将成为他们的责任。好的DevSecOps实践和工具将是答案。例如,如果开发人员创建了一个允许过度广泛的数据共享或不恰当的用户访问权限的工具,他们将收到一个解决问题的警告。新开发人员甚至可能不会考虑这些步骤,所以低代码/无代码平台上的内置测试让他们意识到风险。
一般开发人员可能不会考虑安全性和遵从性自动化可以解决的那些小问题。DevSecOps的实践建立了允许创新的护栏,同时确保消费者的安全。

以下是一些可以帮助你的基本技巧:

  • 了解人员、流程和技术的基本约束。
  • 学习创建持续集成和持续部署管道的最佳实践和工具。
  • DevSecOps是关于协作的;团队之间的沟通是至关重要的。
  • 实施测试,以便您可以自动化合规和安全控制。
  • 要明白这是一场马拉松,而不是短跑。

即使在Model T发布后的第一个夏天发生了所有的伤害事件之后,也要再过10年才会有重大的安全进步。直到1968年,也就是T型车发明近60年后,安全带才成为必需。
问题是认识到责任。很多人都有解决交通事故问题的想法,但没有人赞同相同的策略。我们不能以同样的方式回应低代码/无代码。我们需要积极主动和行业协调。基于devsecops的最佳实践和正确的工具可以作为我们享受新革命所需的护栏。

 

作者:lowcode,如若转载,请注明出处:http://www.dimaxq.com/?p=761

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注