低代码：是风口还是另一个风险敞口？

现在，社会经济正处于不断变革、高速发展时期，借助“数字化转型”寻求业务创新已经成为近年来最为显著的趋势。

业务创新对软件开发提出了新的要求，低代码(Low-code development) 或无代码的出现确实帮助一些企业解决了局部领域生产力提效的痛点。这得益于低代码平台利用可视化的开发手段，将各种功能模块进行封装，用户只需要通过“拖拉拽”等简单的动作，就可以加快构建应用程序。

低代码或无代码的平台，本质上也是用编程编写出来的。因此，无论是借助哪类开发平台，安全应该贯穿整个软件开发生命周期，且落实到软件供应链中。

所有这些范例，都假定所提供的框架建立在一个安全的基础上，并且框架中不包含可能影响合规性的功能。以容器为例，大量报告强调了恶意代码（例如加密货币矿工）可能存在于容器映像中。如果不了解该容器映像中所包含的内容，则任何引用该容器映像的部署都有可能遭受到网络威胁。这就是为什么软件供应链安全是网络安全团队必须重点考量的原因之一。

供应链很复杂，即使是受信任的开发模式，攻击者也能不断地发现其中的缺陷和漏洞。全民开发者(Citizen Developer) 来自IT部以外的业务部门或职能部门，可以使用低代码或无代码平台开发创新型应用。他们也许能清楚应用需要遵循的数据隐私要求，但是他们不了解基架与第三方API的交互方式是否违反监管要求。

如果考虑采用低代码或无代码平台，在挑选供应商时，应该考虑以下因素考虑：

1. 符合NIST 800-218、安全软件开发框架等常见安全框架的全面安全审查。
2. 审查数据传输实践和API使用，以确定数据使用的合规性。
3. 了解与漏洞管理工作相关的补丁服务级别协议(SLA)。

低代码或无代码平台为专业的开发人员以及全民开发者提供了便利，但其背后依然由代码支撑。如果框架提供者没有能力管控与该软件相关的风险，那么风险最终将由该框架的消费者来承担。