Mendix相信,低程式碼開發的安全性和隱私保護離不開信任。Mendix、使用者及其客戶需要建立起信任的紐帶。企業用低程式碼開發應用時,不僅想加快開發和部署的速度,還要相信應用可以為企業自身及其客戶提供全方位的安全保障。
為貫徹這一理念,Mendix貫徹了“安全設計(Security by Design )”的概念,藉助開箱即用的安全工具、開發方法和治理工具,確保無論由誰開發應用程式,企業及其客戶的資料安全都能得到保障。
Mendix如何保障低程式碼開發安全性?
在使用 Mendix 構建應用程式時,Mendix 平臺可以提供程式安全性服務,因此使用者無需擔憂。
隨著企業不斷地引入新的軟體,企業內部的IT 系統變得越來越複雜。面對越發複雜和分散的系統,使用者很難避免來自駭客的侵害。資訊保安威脅始終是一個問題,而企業面臨的成本和風險則日益高企。
面對這些挑戰,以Mendix為代表的低程式碼開發平臺提供了出色的解決方案,豐富的開箱即用安全功能,可以幫助企業實現一般使用者難以理解和執行的平臺級標準化。
針對當下海量的應用程式和技術,Mendix提供了一體化的解決方案,讓複雜系統的構建變得簡單。作為一個低程式碼全棧開發工具,Mendix平臺以更低的成本實現更加簡單、安全的安全管理。Mendix為使用者提供開箱即用的安全性,並且還可進一步配置帶有保護措施的安全設定,以滿足企業的特定需求。Mendix 平臺的架構設計,可以降低各型別使用者的使用風險。這一設計貫穿了基礎設施層、平臺層、伺服器層,以及提供業務價值的應用程式層。
分層式的安全
在基礎設施層與平臺層,Mendix都擁有最高級別的認證。
為提供全天候的網路安全監測,Mendix和西門子均透過與端點安全軟體即服務領導廠商CrowdStrike的合作來實現。我們每個月會進行滲透測試,Mendix平臺的成千上萬的客戶也會對其應用程式進行滲透測試。Menxi還與 HackerOne 合作開展了漏洞披露專案,以實現眾包安全。而所有這些都由Mendix 負責,使用者只需放心使用。
此外,使用者還可以根據需要來配置 IP 白名單,應用客戶端證書,以實現基於角色的訪問控制。
Mendix還有一款透過AWS 雲提供的名為 Mendix Cloud Dedicated 的專用產品,可以為使用者提供專享的所有Mendix 雲安全功能。使用者使用 Mendix Cloud Dedicated,就可透過 VPN來連線網路,以免有人透過公共網際網路進行訪問。
在伺服器層,我們可以匹配企業使用的SAML、Open id、Azure ID 等各種單點登入(SSO)策略。我們還為企業提供針對Mendix 應用程式的各種監控和洞察。今年,Mendix還發布了使用 Micrometer新增企業自己的中央監控的新方法。Micrometer 是一種儀表外觀,可以提供多家廠商的度量標準,為使用者提供更強大的入侵監控。
當然,這並不是說企業對應用程式保護完全沒有控制權(也不應該,因為每個企業和應用都有自身特定的隱私和安全需求)。例如,應用級授權和訪問許可權需要由專業開發人員在應用模型中進行配置。不過,Mendix也能幫使用者實現這些配置。 Mendix 平臺為企業的團隊提供了在實體、模組和專案級別配置安全性的所有標準工具。
如何實現快速開發並保持安全?
在傳統軟體開發的過程中,程式設計師需要特意考慮應用程式各方面的安全性。雖然低程式碼也不例外,但之後的操作卻有所不同。藉助 Mendix 的低程式碼平臺,企業可以為應用程式構建可複用的元件。元件在透過安全檢查之後,無需重新評估即可在其他應用程式中反覆使用。而在傳統開發模式下,要麼企業安全協議會發生變化,要麼就需要更新元件。企業可以把這些元件存放在用於內部共享應用程式和元件的私有Mendix Market Place。
傳統開發需要逐行對程式碼進行分析。而使用Mendix平臺開發時,由於使用者編寫的軟體程式碼較少,因此之後安全檢查的工作量也較少。
例如,在傳統開發中,使用者必須設定授權方案,沒有單一而明確的事實來源。但是在 Mendix 平臺中,使用者可以在同一環境中構建一個域模型,設定不同的訪問許可權。使用者還能使用微流,重複使用為特定微流配置的實體訪問。此外,使用者也可以為每個微流新增特定的安全設定。使用者可以給微流建立名稱和文件詳細說明該微流的隱私和安全規則,以便之後進行搜尋和識別。
治理工具
Mendix平臺的架構設計降低了各個級別的風險,但是我們知道,更強大的安全性需要良好的治理。要加快開發的速度,需要更多的人參與到應用開發的生命週期中,加強反饋迴圈或是讓業務領域專家成為公民開發者。當然,這需要建立相應的保護措施,以確保他們以安全的方式完成開發。
Mendix對良好治理的必要性有著充分的認知。我們的治理框架經過試用和測試,與Mendix數字執行程式保持一致,基於企業低程式碼平臺對人員、流程、產品組合和平臺進行全方位的考量,可確保公民和專業開發者建立的應用符合企業和行業的指導方針和法規。
我們同樣幫企業做到良好治理。為幫助企業遵守治理標準,實現把控,Mendix提供了開箱即用的治理工具,來幫助企業管理越來越多的應用。
控制中心可以提供對Mendix 平臺所有行為的洞察、概覽和控制。企業可以分配和刪除管理員,檢視成員及其所做專案的介紹,詳細瞭解進行中的應用程式專案狀態以及之前提交的內容。
Mendix基於技能的兩個整合開發環境具備一系列程式設計能力,可以讓開發人員協作構建和部署解決方案。
Mendix 應用程式測試套件中的工具,可以實現開發生命週期中的自動化測試。我們的產品組合質量監控工具 Mendix 應用程式質量監控器 (AQM)是一項雲服務,可依據軟體質量模型標準 ISO 25010對 Mendix 應用程式模型進行靜態分析。Mendix AQM 還可以幫助使用者主動確定相關質量問題的性質和位置。此外,Mendix APM工具可以記錄所有級別的日誌記錄、分析Mendix應用程式的效能並測量記憶體和 CPU 使用率。
安全永無止境
保障應用安全是一項艱鉅的任務。企業的首要目標是創造業務價值,但確保企業和客戶資料安全同樣不容小覷。因此,企業必須在更快地開發出更多應用和確保安全之間找到平衡。即使開發應用的速度再快,功能和介面再酷炫,如果無法保證使用和資料的安全性,也毫無用處。
正是因為認識到這一點,Mendix設計的Mendix 平臺,在幫助企業更快構建和部署的同時,更好地把控安全。
