全民開發者時代的來臨及如何保護您的API

2022/5/31

By Filip Verloy

Technical Evangelist EMEA

Microsoft Build 是我們探索代碼和應用程式開發最新創新的地方。這一次有 55 場會議專門討論了微軟的低代碼方法，包括第二天與 Julie Strauss 和 Karuana Gatimu 的主題演講。企業越來越多地採用低代碼應用程式平台來融合全民開發者、專業開發人員和其他有助於構建和使用應用程式的各方的世界。目標是快速交付新的解決方案並使業務能力現代化。

那麼什麼是低代碼？

低代碼是一種可視化的軟件開發方法。它允許您使用圖形用戶界面 (GUI) 從本質上拖放對象和連接，而不是編寫代碼。它有效地從應用程式構建器中抽像出代碼，從而顯著降低進入門檻。Gartner 預測，到 2025 年，企業開發的 70% 的新應用程式將使用低代碼或無代碼技術。高於 2020 年的不到 25%。

第三方軟件只能進行如此多的定制，而低代碼應用程式與企業的現有業務流程更緊密地結合在一起。低代碼應用程式的起點通常是您嘗試自動化的過程，而不是您從供應商處購買的軟件套件的功能。

儘管低代碼和無代碼模塊化方法允許專業開發人員快速構建應用程式，但我們更多地在全民開發者的上下文中談論低代碼。這些開發人員可能是業務分析師、辦公室管理員、小企業主和其他不是構建和測試應用程式的實際軟件開發人員，因為它幾乎不需要了解傳統編程語言。

低代碼革命是如何開始的

根據微軟的說法，根本性的轉變推動了企業應用程式開發的這種變化。微軟公司業務應用副總裁查爾斯·拉曼納在 4 波中對其進行了描述；

第一波：不斷變化的勞動力

今天進入勞動力市場的有些人在成長過程中對應用程式和應用程式消費抱有很高的期望。傳統的商業應用程式具有數十次點擊，無法與直觀的現代手機應用程式相提並論。這導致了評估應用程式的方式發生了變化。

第二波：激增的數字需求

微軟預測未來 5 年內將構建超過 5 億個新應用程式。這比過去 40 年構建的應用程式加起來還要多。這些新應用程式的責任將是移動的，比傳統應用程式企業可以交付的速度快 5 倍。

第三波：沒有足夠的開發人員

就像在 IT 安全領域一樣，我們看到開發人員短缺，僅在美國就短缺約 100 萬。據報導，86% 的微軟客戶都在努力聘請足夠的開發人員來滿足需求。

第四波：經濟衰退

我們繼續看到 COVID-19 危機的影響，現在加上烏克蘭戰爭的影響，導致潛在的嚴重衰退。這給企業企業帶來了巨大壓力，需要更有效地利用包括員工在內的現有資源，以不斷超越競爭對手。

低代碼有可能為企業解決這 4 個浪潮。它使營銷、銷售、法律等領域的每個人都能掌握自己的命運並增加成功。

低代碼存在安全風險

在 Microsoft 的世界中，低代碼開發是通過他們的 Power Platform 實現的，特別是 Power Apps（包括 Power Automate 和 Dataverse）。某些 Office 和 Dynamics 許可證層實際上提供了 Power Apps 的免費版本。

在 PowerApps 中，您可以使用連接到各種數據源的連接器，例如 Microsoft Excel 工作簿、SQL Server 或其他 Microsoft 365 應用程式。您還可以使用自定義數據源 - 例如部署在網絡中的 API 或託管式雲端服務（如 Azure Web Apps、AWS、Heroku、Google Cloud 等）上的 API 或 Web 應用程式。此功能在 PowerApps 中稱為自定義 API

自定義 API 是一種強大的方式，可以從 PowerApps 連接到在任何地方託管的任何現有 API。自定義 API 是您可以從 PowerApps 連接和使用的 RESTful 端點。您所需要的只是端點的 Swagger 定義文件。

但正如 PowerApps 假設全民開發者不是代碼專家一樣，我們也應該假設他們也不是網絡安全專家。考慮到使用和潛在地操作 API 是多麼容易，我們需要確保這可以盡可能安全地完成。

目前的重點是易用性以及通過 API 公開的底層系統按預期工作且安全的假設。正如本文所證明的那樣，這種假設是不正確的。由於 Microsoft Power Apps 中的錯誤配置，超過 1,000 個 Web 應用程式集體洩露了數百萬條包含敏感個人數據的記錄。在其他數據中，3800 萬條可公開查看的記錄涉及 COVID-19 接觸者追踪信息、社會安全號碼以及姓名、電話號碼和電子郵件地址。

如您所見，這個故事的寓意是，儘管簡化了開發人員的體驗，但必須以同樣的嚴謹性來管理安全性。如果有的話，需要採取更多的安全控制措施來培訓和監控全民開發者的湧入。網絡安全永遠不應該是事後的想法，即使在低代碼的世界中也是如此。

資料來源

Noname Security Active Testing 是一個針對 AppDev/DevOps 組的新模塊，可幫助將“Shift Left”測試深入到應用程序開發過程中。 通過將 API 測試轉移到應用程式開發過程中，它可以幫助 AppDev/DevOp 團隊將經過徹底測試的 API 發佈到生產中，並避免在開發結束時造成測試瓶頸。 這減少了前期風險和補救工作，從而使 AppDev/DevOps 小組能夠始終如一地維護他們的測試版本。

Nonamesecurity.com

taiwan@nonamesecurity.com