Mendix认为,低代码开发的安全和隐私保护离不开信任。门迪克斯,用户和他们的客户需要建立信任的纽带。企业在开发低代码的应用程序时,不仅希望加快开发和部署速度,而且相信应用程序能够为企业及其客户提供全方位的安全保障。
为了实现这一理念,Mendix实施了“安全源于设计”的概念。在现成的安全工具、开发方法和治理工具的帮助下,无论谁开发应用程序,都可以保证企业及其客户的数据安全。
Mendix如何保证低代码开发的安全性?
使用Mendix构建应用时,Mendix平台可以提供程序安全服务,用户无需担心。
随着企业新软件的不断推出,企业的IT系统变得越来越复杂。面对日益复杂和分散的系统,用户很难避免黑客的攻击。信息安全威胁始终是一个问题,同时企业面临的成本和风险也在不断增加。
面对这些挑战,以Mendix为代表的低代码开发平台提供了优秀的解决方案和丰富的开箱即用的安全功能,可以帮助企业实现普通用户难以理解和实现的平台级标准化。
针对海量的应用和技术,Mendix提供了集成的解决方案,使得复杂系统的构建变得简单。Mendix平台作为低代码全栈开发工具,以更低的成本实现了更简单、更安全的安全管理。Mendix为用户提供了开箱即用的安全性,并可以进一步配置具有保护措施的安全设置,以满足企业的特定需求。Mendix平台的架构设计可以降低各类用户的使用风险。这种设计贯穿于基础设施层、平台层、服务器层和提供业务价值的应用层。
分层安全
Mendix在基础设施级别和平台级别都拥有最高级别的认证。
为了提供全天候的网络安全监控,Mendix和西门子与端点安全软件即服务的领导者CrowdStrike进行了合作。我们每个月都会进行渗透测试,Mendix平台的上千个客户也会对他们的应用进行渗透测试。门西还与HackerOne合作开展漏洞披露项目,实现众包安全。这些都由Mendix打理,用户只需要放心使用即可。
此外,用户可以根据需要配置IP白名单和应用客户端证书,实现基于角色的访问控制。
Menix还有一个专门的产品叫做Mendix Cloud Dedicated,通过AWS cloud提供,可以为用户提供所有专属的Mendix Cloud安全功能。使用Mendix Cloud Dedicated,用户可以通过VPN连接到网络,这样就没有人可以通过公共互联网访问它。
在服务器层面,我们可以匹配企业使用的各种单点登录(SSO)策略,如SAML、Open id、Azure ID等。我们还为企业提供关于Mendix应用的各种监控和洞察。今年,Mendix还发布了一种通过使用千分尺来添加企业自己的中央监控的新方法。千分尺是一种仪器外观,可以提供很多厂家的测量标准,为用户提供更强大的入侵监测。
当然,这并不意味着企业对应用程序保护没有控制权(也不应该有控制权,因为每个企业和应用程序都有自己特定的隐私和安全需求)。例如,应用程序级别的授权和访问权限需要由专业开发人员在应用程序模型中进行配置。但是,Mendix也可以帮助用户实现这些配置。Mendix平台为企业团队提供所有标准工具,用于在实体、模块和项目级别配置安全性。
如何实现快速发展并保持安全?
在传统的软件开发过程中,程序员需要考虑应用安全的方方面面。虽然低位代码也不例外,但是后续操作就不一样了。借助Mendix的低代码平台,企业可以为应用程序构建可重用的组件。组件通过安全检查后,无需重新评估就可以在其他应用程序中重用。在传统的开发模式中,要么企业安全协议会发生变化,要么组件需要更新。企业可以将这些组件存储在私有的Mendix市场中,以便在内部共享应用程序和组件。
传统的开发需要逐行分析代码。而使用Mendix平台开发时,由于用户编写的软件代码较少,安全检查的工作量也较少。
例如,在传统开发中,用户必须设置授权方案,并且没有单一和明确的事实来源。而在Mendix平台中,用户可以在同一个环境下建立一个域模型,设置不同的访问权限。用户还可以通过使用微流来重用为特定微流配置的实体访问。此外,用户还可以为每个微流添加特定的安全设置。用户可以为微流创建名称和文档,以指定微流的隐私和安全规则,用于以后的搜索和识别。
治理工具
Mendix平台的架构设计降低了各个层面的风险,但我们知道更强的安全性需要良好的治理。为了加快开发速度,需要更多的人参与到应用开发的生命周期中,加强反馈回路或者让业务领域专家成为公民开发者。当然,这需要建立相应的保护措施,确保它们以安全的方式完成开发。
门德克斯充分意识到善政的必要性。我们的治理框架已经过试验和测试,它与Mendix数字执行计划一致。基于企业低代码平台,全方位考虑人、流程、产品组合、平台,可以保证公民和专业开发者创建的应用符合企业和行业的准则和规定。
我们还帮助企业实现良好的治理。为了帮助企业遵守治理标准并实现控制,Mendix提供了开箱即用的治理工具,以帮助企业管理越来越多的应用程序。
控制中心可以提供对Mendix平台所有行为的洞察、概览和控制。企业可以分配和删除管理员,查看成员及其项目的介绍,了解正在进行的应用项目的状态以及之前提交的内容。
Mendix的两个基于技能的集成开发环境具有一系列编程功能,允许开发人员协作构建和部署解决方案。
Mendix应用测试套件中的工具可以实现开发生命周期中的自动化测试。我们的产品组合质量监控工具——Mendix Application Quality Monitor(AQM)是一个云服务,可以根据ISO 25010对Mendix应用模型进行静态分析。Menxaqm还可以帮助用户主动确定相关质量问题的性质和位置。此外,Mendix APM工具可以记录所有级别的日志,分析Mendix应用程序的性能,并测量内存和CPU的使用情况。
安全无止境。
保护应用程序安全是一项艰巨的任务。企业的首要目标是创造商业价值,但保障企业和客户的数据安全也不容小觑。因此,企业必须在更快地开发更多应用和保证安全性之间找到平衡。应用开发的再快,功能和界面再酷,如果不能保证使用和数据的安全性,都是没有用的。
正因为如此,Mendix设计的Mendix平台可以帮助企业更快的搭建和部署,同时也可以更好的控制安全性。
