Mendix相信，低代碼開(kāi)發(fā)的安全性和隱私保護(hù)離不開(kāi)信任。Mendix、用戶及其客戶需要建立起信任的紐帶。企業(yè)用低代碼開(kāi)發(fā)應(yīng)用時(shí)，不僅想加快開(kāi)發(fā)和部署的速度，還要相信應(yīng)用可以為企業(yè)自身及其客戶提供全方位的安全保障。

為貫徹這一理念，Mendix貫徹了“安全設(shè)計(jì)(Security by Design )”的概念，借助開(kāi)箱即用的安全工具、開(kāi)發(fā)方法和治理工具，確保無(wú)論由誰(shuí)開(kāi)發(fā)應(yīng)用程序，企業(yè)及其客戶的數(shù)據(jù)安全都能得到保障。

Mendix如何保障低代碼開(kāi)發(fā)安全性？

在使用 Mendix 構(gòu)建應(yīng)用程序時(shí)，Mendix 平臺(tái)可以提供程序安全性服務(wù)，因此用戶無(wú)需擔(dān)憂。

隨著企業(yè)不斷地引入新的軟件，企業(yè)內(nèi)部的IT 系統(tǒng)變得越來(lái)越復(fù)雜。面對(duì)越發(fā)復(fù)雜和分散的系統(tǒng)，用戶很難避免來(lái)自黑客的侵害。信息安全威脅始終是一個(gè)問(wèn)題，而企業(yè)面臨的成本和風(fēng)險(xiǎn)則日益高企。

面對(duì)這些挑戰(zhàn)，以Mendix為代表的低代碼開(kāi)發(fā)平臺(tái)提供了出色的解決方案，豐富的開(kāi)箱即用安全功能，可以幫助企業(yè)實(shí)現(xiàn)一般用戶難以理解和執(zhí)行的平臺(tái)級(jí)標(biāo)準(zhǔn)化。

針對(duì)當(dāng)下海量的應(yīng)用程序和技術(shù)，Mendix提供了一體化的解決方案，讓復(fù)雜系統(tǒng)的構(gòu)建變得簡(jiǎn)單。作為一個(gè)低代碼全棧開(kāi)發(fā)工具，Mendix平臺(tái)以更低的成本實(shí)現(xiàn)更加簡(jiǎn)單、安全的安全管理。Mendix為用戶提供開(kāi)箱即用的安全性，并且還可進(jìn)一步配置帶有保護(hù)措施的安全設(shè)置，以滿足企業(yè)的特定需求。Mendix 平臺(tái)的架構(gòu)設(shè)計(jì)，可以降低各類型用戶的使用風(fēng)險(xiǎn)。這一設(shè)計(jì)貫穿了基礎(chǔ)設(shè)施層、平臺(tái)層、服務(wù)器層，以及提供業(yè)務(wù)價(jià)值的應(yīng)用程序?qū)印?/p>

分層式的安全

在基礎(chǔ)設(shè)施層與平臺(tái)層，Mendix都擁有最高級(jí)別的認(rèn)證。

為提供全天候的網(wǎng)絡(luò)安全監(jiān)測(cè)，Mendix和西門子均通過(guò)與端點(diǎn)安全軟件即服務(wù)領(lǐng)導(dǎo)廠商CrowdStrike的合作來(lái)實(shí)現(xiàn)。我們每個(gè)月會(huì)進(jìn)行滲透測(cè)試，Mendix平臺(tái)的成千上萬(wàn)的客戶也會(huì)對(duì)其應(yīng)用程序進(jìn)行滲透測(cè)試。Menxi還與 HackerOne 合作開(kāi)展了漏洞披露項(xiàng)目，以實(shí)現(xiàn)眾包安全。而所有這些都由Mendix 負(fù)責(zé)，用戶只需放心使用。

此外，用戶還可以根據(jù)需要來(lái)配置 IP 白名單，應(yīng)用客戶端證書(shū)，以實(shí)現(xiàn)基于角色的訪問(wèn)控制。

Mendix還有一款通過(guò)AWS 云提供的名為 Mendix Cloud Dedicated 的專用產(chǎn)品，可以為用戶提供專享的所有Mendix 云安全功能。用戶使用 Mendix Cloud Dedicated，就可通過(guò) VPN來(lái)連接網(wǎng)絡(luò)，以免有人通過(guò)公共互聯(lián)網(wǎng)進(jìn)行訪問(wèn)。

在服務(wù)器層，我們可以匹配企業(yè)使用的SAML、Open id、Azure ID 等各種單點(diǎn)登錄（SSO）策略。我們還為企業(yè)提供針對(duì)Mendix 應(yīng)用程序的各種監(jiān)控和洞察。今年，Mendix還發(fā)布了使用 Micrometer添加企業(yè)自己的中央監(jiān)控的新方法。Micrometer 是一種儀表外觀，可以提供多家廠商的度量標(biāo)準(zhǔn)，為用戶提供更強(qiáng)大的入侵監(jiān)控。

當(dāng)然，這并不是說(shuō)企業(yè)對(duì)應(yīng)用程序保護(hù)完全沒(méi)有控制權(quán)（也不應(yīng)該，因?yàn)槊總€(gè)企業(yè)和應(yīng)用都有自身特定的隱私和安全需求）。例如，應(yīng)用級(jí)授權(quán)和訪問(wèn)權(quán)限需要由專業(yè)開(kāi)發(fā)人員在應(yīng)用模型中進(jìn)行配置。不過(guò)，Mendix也能幫用戶實(shí)現(xiàn)這些配置。 Mendix 平臺(tái)為企業(yè)的團(tuán)隊(duì)提供了在實(shí)體、模塊和項(xiàng)目級(jí)別配置安全性的所有標(biāo)準(zhǔn)工具。

如何實(shí)現(xiàn)快速開(kāi)發(fā)并保持安全？

在傳統(tǒng)軟件開(kāi)發(fā)的過(guò)程中，程序員需要特意考慮應(yīng)用程序各方面的安全性。雖然低代碼也不例外，但之后的操作卻有所不同。借助 Mendix 的低代碼平臺(tái)，企業(yè)可以為應(yīng)用程序構(gòu)建可復(fù)用的組件。組件在通過(guò)安全檢查之后，無(wú)需重新評(píng)估即可在其他應(yīng)用程序中反復(fù)使用。而在傳統(tǒng)開(kāi)發(fā)模式下，要么企業(yè)安全協(xié)議會(huì)發(fā)生變化，要么就需要更新組件。企業(yè)可以把這些組件存放在用于內(nèi)部共享應(yīng)用程序和組件的私有Mendix Market Place。

傳統(tǒng)開(kāi)發(fā)需要逐行對(duì)代碼進(jìn)行分析。而使用Mendix平臺(tái)開(kāi)發(fā)時(shí)，由于用戶編寫(xiě)的軟件代碼較少，因此之后安全檢查的工作量也較少。

例如，在傳統(tǒng)開(kāi)發(fā)中，用戶必須設(shè)置授權(quán)方案，沒(méi)有單一而明確的事實(shí)來(lái)源。但是在 Mendix 平臺(tái)中，用戶可以在同一環(huán)境中構(gòu)建一個(gè)域模型，設(shè)置不同的訪問(wèn)權(quán)限。用戶還能使用微流，重復(fù)使用為特定微流配置的實(shí)體訪問(wèn)。此外，用戶也可以為每個(gè)微流添加特定的安全設(shè)置。用戶可以給微流創(chuàng)建名稱和文檔詳細(xì)說(shuō)明該微流的隱私和安全規(guī)則，以便之后進(jìn)行搜索和識(shí)別。

治理工具

Mendix平臺(tái)的架構(gòu)設(shè)計(jì)降低了各個(gè)級(jí)別的風(fēng)險(xiǎn)，但是我們知道，更強(qiáng)大的安全性需要良好的治理。要加快開(kāi)發(fā)的速度，需要更多的人參與到應(yīng)用開(kāi)發(fā)的生命周期中，加強(qiáng)反饋循環(huán)或是讓業(yè)務(wù)領(lǐng)域?qū)＜页蔀楣耖_(kāi)發(fā)者。當(dāng)然，這需要建立相應(yīng)的保護(hù)措施，以確保他們以安全的方式完成開(kāi)發(fā)。

Mendix對(duì)良好治理的必要性有著充分的認(rèn)知。我們的治理框架經(jīng)過(guò)試用和測(cè)試，與Mendix數(shù)字執(zhí)行程序保持一致，基于企業(yè)低代碼平臺(tái)對(duì)人員、流程、產(chǎn)品組合和平臺(tái)進(jìn)行全方位的考量，可確保公民和專業(yè)開(kāi)發(fā)者創(chuàng)建的應(yīng)用符合企業(yè)和行業(yè)的指導(dǎo)方針和法規(guī)。

我們同樣幫企業(yè)做到良好治理。為幫助企業(yè)遵守治理標(biāo)準(zhǔn)，實(shí)現(xiàn)把控，Mendix提供了開(kāi)箱即用的治理工具，來(lái)幫助企業(yè)管理越來(lái)越多的應(yīng)用。

控制中心可以提供對(duì)Mendix 平臺(tái)所有行為的洞察、概覽和控制。企業(yè)可以分配和刪除管理員，查看成員及其所做項(xiàng)目的介紹，詳細(xì)了解進(jìn)行中的應(yīng)用程序項(xiàng)目狀態(tài)以及之前提交的內(nèi)容。

Mendix基于技能的兩個(gè)集成開(kāi)發(fā)環(huán)境具備一系列編程能力，可以讓開(kāi)發(fā)人員協(xié)作構(gòu)建和部署解決方案。

Mendix 應(yīng)用程序測(cè)試套件中的工具，可以實(shí)現(xiàn)開(kāi)發(fā)生命周期中的自動(dòng)化測(cè)試。我們的產(chǎn)品組合質(zhì)量監(jiān)控工具 Mendix 應(yīng)用程序質(zhì)量監(jiān)控器 （AQM）是一項(xiàng)云服務(wù)，可依據(jù)軟件質(zhì)量模型標(biāo)準(zhǔn) ISO 25010對(duì) Mendix 應(yīng)用程序模型進(jìn)行靜態(tài)分析。Mendix AQM 還可以幫助用戶主動(dòng)確定相關(guān)質(zhì)量問(wèn)題的性質(zhì)和位置。此外，Mendix APM工具可以記錄所有級(jí)別的日志記錄、分析Mendix應(yīng)用程序的性能并測(cè)量?jī)?nèi)存和 CPU 使用率。

安全永無(wú)止境

保障應(yīng)用安全是一項(xiàng)艱巨的任務(wù)。企業(yè)的首要目標(biāo)是創(chuàng)造業(yè)務(wù)價(jià)值，但確保企業(yè)和客戶數(shù)據(jù)安全同樣不容小覷。因此，企業(yè)必須在更快地開(kāi)發(fā)出更多應(yīng)用和確保安全之間找到平衡。即使開(kāi)發(fā)應(yīng)用的速度再快，功能和界面再酷炫，如果無(wú)法保證使用和數(shù)據(jù)的安全性，也毫無(wú)用處。

正是因?yàn)檎J(rèn)識(shí)到這一點(diǎn)，Mendix設(shè)計(jì)的Mendix 平臺(tái)，在幫助企業(yè)更快構(gòu)建和部署的同時(shí)，更好地把控安全。

xiesc