采用低代码安全设计 Mendix的低代码平台

弗兰克·巴伯根
2021 年 8 月 30 日
分钟阅读

这是关于信任.

电子邮件和短信 Mendix在将安全性和隐私性嵌入低代码开发方面，我们的理念是：我们、您和您的客户之间建立起了信任纽带。当您使用低代码开发应用程序时，您不应该只期望开发速度更快、部署速度更快。您应该能够相信，您的应用程序将以各种可能的方式为您和您的客户提供安全保障。

这就是为什么 Mendix，我们用“设计安全”的概念来支持我们的理念——开箱即用的安全工具、开发方法和 低代码治理 无论谁在构建应用程序，我们都会使用工具来确保您和您的客户的数据安全。

如何 Mendix 维护低代码开发的安全性？

使用以下方式构建应用程序 Mendix，您可以放心，您的应用程序是安全的，因为 Mendix 平台将此作为一项服务来处理。

在整个组织中，IT 系统的复杂性不断增加，几乎从未降低。公司总是在不断添加新的软件。对于如此复杂和分散的系统，很难保护自己免受黑客和国家支持的行为者的攻击。信息威胁始终是一个问题。对于组织来说，这意味着越来越高的成本和高风险。

低代码开发平台，具体来说 Mendix是解决这些挑战的一个很好的解决方案，因为您可以在平台级别进行标准化，其中许多安全功能都是现成的。安全性通常很难让普通用户理解和执行。

Mendix 通过为当前大量的应用程序和技术提供一体化解决方案，简化大量复杂系统。

- Mendix 平台是一个全栈、低代码开发工具，可以以更低的成本更简单、更安全地管理安全性。 Mendix 为您提供开箱即用的安全性，并且还可以进一步配置带有护栏的安全设置，以满足您的特定需求和要求。

- Mendix 无论谁在使用平台，平台的架构都旨在降低风险。首先在基础设施和平台层，然后是服务器层，然后是提供业务价值的应用程序层。

分层安全

在基础设施和平台层， Mendix 有 最高级别的认证和认可.

我们提供全天候威胁检测 Mendix 和 Siemens 通过利用 CrowdStrike（终端安全软件即服务的领导者）。我们还每月进行渗透测试，并由数千名客户对其应用程序进行自己的渗透测试。 我们与 HackerOne 合作开展漏洞披露计划 向世界上最优秀、最聪明的道德黑客开放我们的产品，以实现众包安全。 Mendix 为您管理所有这些。

除此之外，您还可以根据需要配置 IP 白名单、实施客户端证书和基于角色的访问。

我们有一款专门的产品叫做 Mendix 云专用 您可以获得 Mendix 但它是专门为你服务的，并托管在 AWS 云上。 Mendix 云专用，可以通过 VPN 连接您的网络，以便无法通过公共互联网访问。

在服务器级别，我们能够与您的 SSO 策略保持一致 - SAML、Open id、Azure ID 等。我们还为您和您的企业提供一系列监控和见解 Mendix 应用程序。今年，我们还发布了使用以下应用程序添加您自己的中央监控的新方法： Micrometer，一种提供与供应商无关的指标的仪表外观. 这可为您提供增强的入侵监控。

当然，这并不意味着您完全不用承担保护应用程序安全的责任（也不应该如此，每个企业和应用程序都有自己特定的隐私和安全需求）。例如，应用程序级授权和访问权限需要由专业开发人员在应用程序模型中配置。 但你并不孤单。 - Mendix 平台为您的团队提供所有标准工具来配置实体、模块和项目级别的安全性。

如何快速发展并保持安全？

对于传统软件开发，程序员需要特别考虑应用程序各个方面的安全性。虽然低代码开发也是如此，但区别在于后续步骤。对于 Mendix的低代码平台，您可以为应用程序构建可重复使用的组件。一旦该组件通过了安全检查，它就可以在其他应用程序中反复使用，而无需重新评估。直到您的安全协议发生变化，或者需要对组件进行更新。这些组件可以放在您公司的 私人市场，您可以在其中内部共享应用程序和应用程序组件。

传统的开发需要分析一行又一行的代码。 Mendix，你编写的软件更少，因此，安全检查也更少。

例如，在传统开发中，你必须设置授权方案。没有单一、明确的真相来源。但在 Mendix 平台，您可以构建域模型，设置谁有访问权限，所有这些都集中在一个地方。使用微流，您可以重复使用为特定微流访问权限配置的实体访问权限。或者，您可以为每个微流定义应添加哪种安全性。由于您的微流可以有名称，因此您可以创建详细说明该微流的隐私和安全规则的文档，使其易于搜索和辨别。

治理工具

虽然我们的平台旨在降低各个层面的风险，但我们也知道强大的安全性需要出色的治理。加快开发速度通常意味着让更多人参与到应用程序开发生命周期中，以加强反馈循环或将业务利益相关者转变为可以自己构建应用程序的公民开发人员。当然，这意味着建立护栏以确保他们以安全的方式进行构建。

At Mendix 我们认识到良好治理的必要性。我们有一个经过尝试、测试并与我们的数字执行计划保持一致的治理框架。在低代码平台的每个方面考虑 4P（人员、流程、产品组合和平台）可以帮助您确保您的开发人员（无论是普通开发人员还是专业人士）正在创建符合您公司和行业准则和法规的应用程序。

但再说一遍，你并不是唯一一个遇到这种情况的人。 为了帮助确保遵守并保持控制，还有开箱即用的治理工具来帮助您管理不断增长的应用程序环境。

控制中心 规定所有活动 Mendix 平台洞察、概览和控制集中在一个中心位置。您可以分配和删除管理员、概览成员及其项目，并深入了解活跃的应用项目及其状态和上次提交。

Mendix基于技能，两个 IDE 允许具有一系列编程知识的开发人员以协作的方式构建和部署解决方案。

- Mendix 应用程序测试套件为您提供了将自动化测试嵌入到开发生命周期的工具。我们的产品组合质量监控工具， Mendix 质量和安全管理是一项云服务，可对以下对象执行静态分析： Mendix 基于ISO 25010可维护性行业标准的应用模型。 Mendix AQM 还可以帮助您主动识别质量问题是什么以及在哪里。同样适用于 Mendix APM 是一款记录所有级别日志的工具，可分析您的 Mendix 应用程序并测量内存和 CPU 使用率。