Mendix相信，低代碼開發(fā)的安全性和隱私保護離不開信任。Mendix、用戶及其客戶需要建立起信任的紐帶。企業(yè)用低代碼開發(fā)應(yīng)用時，不僅想加快開發(fā)和部署的速度，還要相信應(yīng)用可以為企業(yè)自身及其客戶提供全方位的安全保障。

為貫徹這一理念，Mendix貫徹了“安全設(shè)計(Security by Design )”的概念，借助開箱即用的安全工具、開發(fā)方法和治理工具，確保無論由誰開發(fā)應(yīng)用程序，企業(yè)及其客戶的數(shù)據(jù)安全都能得到保障。

Mendix如何保障低代碼開發(fā)安全性？

在使用 Mendix 構(gòu)建應(yīng)用程序時，Mendix 平臺可以提供程序安全性服務(wù)，因此用戶無需擔憂。

隨著企業(yè)不斷地引入新的軟件，企業(yè)內(nèi)部的IT 系統(tǒng)變得越來越復(fù)雜。面對越發(fā)復(fù)雜和分散的系統(tǒng)，用戶很難避免來自黑客的侵害。信息安全威脅始終是一個問題，而企業(yè)面臨的成本和風險則日益高企。

面對這些挑戰(zhàn)，以Mendix為代表的低代碼開發(fā)平臺提供了出色的解決方案，豐富的開箱即用安全功能，可以幫助企業(yè)實現(xiàn)一般用戶難以理解和執(zhí)行的平臺級標準化。

針對當下海量的應(yīng)用程序和技術(shù)，Mendix提供了一體化的解決方案，讓復(fù)雜系統(tǒng)的構(gòu)建變得簡單。作為一個低代碼全棧開發(fā)工具，Mendix平臺以更低的成本實現(xiàn)更加簡單、安全的安全管理。Mendix為用戶提供開箱即用的安全性，并且還可進一步配置帶有保護措施的安全設(shè)置，以滿足企業(yè)的特定需求。Mendix 平臺的架構(gòu)設(shè)計，可以降低各類型用戶的使用風險。這一設(shè)計貫穿了基礎(chǔ)設(shè)施層、平臺層、服務(wù)器層，以及提供業(yè)務(wù)價值的應(yīng)用程序?qū)印?/p>

分層式的安全

在基礎(chǔ)設(shè)施層與平臺層，Mendix都擁有最高級別的認證。

為提供全天候的網(wǎng)絡(luò)安全監(jiān)測，Mendix和西門子均通過與端點安全軟件即服務(wù)領(lǐng)導(dǎo)廠商CrowdStrike的合作來實現(xiàn)。我們每個月會進行滲透測試，Mendix平臺的成千上萬的客戶也會對其應(yīng)用程序進行滲透測試。Menxi還與 HackerOne 合作開展了漏洞披露項目，以實現(xiàn)眾包安全。而所有這些都由Mendix 負責，用戶只需放心使用。

此外，用戶還可以根據(jù)需要來配置 IP 白名單，應(yīng)用客戶端證書，以實現(xiàn)基于角色的訪問控制。

Mendix還有一款通過AWS 云提供的名為 Mendix Cloud Dedicated 的專用產(chǎn)品，可以為用戶提供專享的所有Mendix 云安全功能。用戶使用 Mendix Cloud Dedicated，就可通過 VPN來連接網(wǎng)絡(luò)，以免有人通過公共互聯(lián)網(wǎng)進行訪問。

在服務(wù)器層，我們可以匹配企業(yè)使用的SAML、Open id、Azure ID 等各種單點登錄（SSO）策略。我們還為企業(yè)提供針對Mendix 應(yīng)用程序的各種監(jiān)控和洞察。今年，Mendix還發(fā)布了使用 Micrometer添加企業(yè)自己的中央監(jiān)控的新方法。Micrometer 是一種儀表外觀，可以提供多家廠商的度量標準，為用戶提供更強大的入侵監(jiān)控。

當然，這并不是說企業(yè)對應(yīng)用程序保護完全沒有控制權(quán)（也不應(yīng)該，因為每個企業(yè)和應(yīng)用都有自身特定的隱私和安全需求）。例如，應(yīng)用級授權(quán)和訪問權(quán)限需要由專業(yè)開發(fā)人員在應(yīng)用模型中進行配置。不過，Mendix也能幫用戶實現(xiàn)這些配置。 Mendix 平臺為企業(yè)的團隊提供了在實體、模塊和項目級別配置安全性的所有標準工具。

如何實現(xiàn)快速開發(fā)并保持安全？

在傳統(tǒng)軟件開發(fā)的過程中，程序員需要特意考慮應(yīng)用程序各方面的安全性。雖然低代碼也不例外，但之后的操作卻有所不同。借助 Mendix 的低代碼平臺，企業(yè)可以為應(yīng)用程序構(gòu)建可復(fù)用的組件。組件在通過安全檢查之后，無需重新評估即可在其他應(yīng)用程序中反復(fù)使用。而在傳統(tǒng)開發(fā)模式下，要么企業(yè)安全協(xié)議會發(fā)生變化，要么就需要更新組件。企業(yè)可以把這些組件存放在用于內(nèi)部共享應(yīng)用程序和組件的私有Mendix Market Place。

傳統(tǒng)開發(fā)需要逐行對代碼進行分析。而使用Mendix平臺開發(fā)時，由于用戶編寫的軟件代碼較少，因此之后安全檢查的工作量也較少。

例如，在傳統(tǒng)開發(fā)中，用戶必須設(shè)置授權(quán)方案，沒有單一而明確的事實來源。但是在 Mendix 平臺中，用戶可以在同一環(huán)境中構(gòu)建一個域模型，設(shè)置不同的訪問權(quán)限。用戶還能使用微流，重復(fù)使用為特定微流配置的實體訪問。此外，用戶也可以為每個微流添加特定的安全設(shè)置。用戶可以給微流創(chuàng)建名稱和文檔詳細說明該微流的隱私和安全規(guī)則，以便之后進行搜索和識別。

治理工具

Mendix平臺的架構(gòu)設(shè)計降低了各個級別的風險，但是我們知道，更強大的安全性需要良好的治理。要加快開發(fā)的速度，需要更多的人參與到應(yīng)用開發(fā)的生命周期中，加強反饋循環(huán)或是讓業(yè)務(wù)領(lǐng)域?qū)＜页蔀楣耖_發(fā)者。當然，這需要建立相應(yīng)的保護措施，以確保他們以安全的方式完成開發(fā)。

Mendix對良好治理的必要性有著充分的認知。我們的治理框架經(jīng)過試用和測試，與Mendix數(shù)字執(zhí)行程序保持一致，基于企業(yè)低代碼平臺對人員、流程、產(chǎn)品組合和平臺進行全方位的考量，可確保公民和專業(yè)開發(fā)者創(chuàng)建的應(yīng)用符合企業(yè)和行業(yè)的指導(dǎo)方針和法規(guī)。

我們同樣幫企業(yè)做到良好治理。為幫助企業(yè)遵守治理標準，實現(xiàn)把控，Mendix提供了開箱即用的治理工具，來幫助企業(yè)管理越來越多的應(yīng)用。

控制中心可以提供對Mendix 平臺所有行為的洞察、概覽和控制。企業(yè)可以分配和刪除管理員，查看成員及其所做項目的介紹，詳細了解進行中的應(yīng)用程序項目狀態(tài)以及之前提交的內(nèi)容。

Mendix基于技能的兩個集成開發(fā)環(huán)境具備一系列編程能力，可以讓開發(fā)人員協(xié)作構(gòu)建和部署解決方案。

Mendix 應(yīng)用程序測試套件中的工具，可以實現(xiàn)開發(fā)生命周期中的自動化測試。我們的產(chǎn)品組合質(zhì)量監(jiān)控工具 Mendix 應(yīng)用程序質(zhì)量監(jiān)控器 （AQM）是一項云服務(wù)，可依據(jù)軟件質(zhì)量模型標準 ISO 25010對 Mendix 應(yīng)用程序模型進行靜態(tài)分析。Mendix AQM 還可以幫助用戶主動確定相關(guān)質(zhì)量問題的性質(zhì)和位置。此外，Mendix APM工具可以記錄所有級別的日志記錄、分析Mendix應(yīng)用程序的性能并測量內(nèi)存和 CPU 使用率。

安全永無止境

保障應(yīng)用安全是一項艱巨的任務(wù)。企業(yè)的首要目標是創(chuàng)造業(yè)務(wù)價值，但確保企業(yè)和客戶數(shù)據(jù)安全同樣不容小覷。因此，企業(yè)必須在更快地開發(fā)出更多應(yīng)用和確保安全之間找到平衡。即使開發(fā)應(yīng)用的速度再快，功能和界面再酷炫，如果無法保證使用和數(shù)據(jù)的安全性，也毫無用處。

正是因為認識到這一點，Mendix設(shè)計的Mendix 平臺，在幫助企業(yè)更快構(gòu)建和部署的同時，更好地把控安全。

（作者：Mendix 首席信息安全官Frank Baalbergen）