Mendix相信，低代碼開(kāi)發(fā)的安全性和隱私保護離不開(kāi)信任。Mendix、用戶(hù)及其客戶(hù)需要建立起信任的紐帶。企業(yè)用低代碼開(kāi)發(fā)應用時(shí)，不僅想加快開(kāi)發(fā)和部署的速度，還要相信應用可以為企業(yè)自身及其客戶(hù)提供全方位的安全保障。

為貫徹這一理念，Mendix貫徹了“安全設計(Security by Design)”的概念，借助開(kāi)箱即用的安全工具、開(kāi)發(fā)方法和治理工具，確保無(wú)論由誰(shuí)開(kāi)發(fā)應用程序，企業(yè)及其客戶(hù)的數據安全都能得到保障。

Mendix如何保障低代碼開(kāi)發(fā)安全性？

在使用Mendix構建應用程序時(shí)，Mendix平臺可以提供程序安全性服務(wù)，因此用戶(hù)無(wú)需擔憂(yōu)。

隨著(zhù)企業(yè)不斷地引入新的軟件，企業(yè)內部的IT系統變得越來(lái)越復雜。面對越發(fā)復雜和分散的系統，用戶(hù)很難避免來(lái)自黑客的侵害。信息安全威脅始終是一個(gè)問(wèn)題，而企業(yè)面臨的成本和風(fēng)險則日益高企。

面對這些挑戰，以Mendix為代表的低代碼開(kāi)發(fā)平臺提供了出色的解決方案，豐富的開(kāi)箱即用安全功能，可以幫助企業(yè)實(shí)現一般用戶(hù)難以理解和執行的平臺級標準化。

針對當下海量的應用程序和技術(shù)，Mendix提供了一體化的解決方案，讓復雜系統的構建變得簡(jiǎn)單。作為一個(gè)低代碼全棧開(kāi)發(fā)工具，Mendix平臺以更低的成本實(shí)現更加簡(jiǎn)單、安全的安全管理。Mendix為用戶(hù)提供開(kāi)箱即用的安全性，并且還可進(jìn)一步配置帶有保護措施的安全設置，以滿(mǎn)足企業(yè)的特定需求。

Mendix平臺的架構設計，可以降低各類(lèi)型用戶(hù)的使用風(fēng)險。這一設計貫穿了基礎設施層、平臺層、服務(wù)器層，以及提供業(yè)務(wù)價(jià)值的應用程序層。

分層式的安全

在基礎設施層與平臺層，Mendix都擁有最高級別的認證。

為提供全天候的網(wǎng)絡(luò )安全監測，Mendix和西門(mén)子均通過(guò)與端點(diǎn)安全軟件即服務(wù)領(lǐng)導廠(chǎng)商CrowdStrike的合作來(lái)實(shí)現。我們每個(gè)月會(huì )進(jìn)行滲透測試，Mendix平臺的成千上萬(wàn)的客戶(hù)也會(huì )對其應用程序進(jìn)行滲透測試。Menxi還與 HackerOne合作開(kāi)展了漏洞披露項目，以實(shí)現眾包安全。而所有這些都由Mendix負責，用戶(hù)只需放心使用。

此外，用戶(hù)還可以根據需要來(lái)配置IP白名單，應用客戶(hù)端證書(shū)，以實(shí)現基于角色的訪(fǎng)問(wèn)控制。

Mendix還有一款通過(guò)AWS 云提供的名為 Mendix Cloud Dedicated 的專(zhuān)用產(chǎn)品，可以為用戶(hù)提供專(zhuān)享的所有Mendix 云安全功能。用戶(hù)使用 Mendix Cloud Dedicated，就可通過(guò) VPN來(lái)連接網(wǎng)絡(luò )，以免有人通過(guò)公共互聯(lián)網(wǎng)進(jìn)行訪(fǎng)問(wèn)。

在服務(wù)器層，我們可以匹配企業(yè)使用的SAML、Open id、Azure ID 等各種單點(diǎn)登錄（SSO）策略。我們還為企業(yè)提供針對Mendix應用程序的各種監控和洞察。今年，Mendix還發(fā)布了使用 Micrometer添加企業(yè)自己的中央監控的新方法。Micrometer是一種儀表外觀(guān)，可以提供多家廠(chǎng)商的度量標準，為用戶(hù)提供更強大的入侵監控。

當然，這并不是說(shuō)企業(yè)對應用程序保護完全沒(méi)有控制權（也不應該，因為每個(gè)企業(yè)和應用都有自身特定的隱私和安全需求）。例如，應用級授權和訪(fǎng)問(wèn)權限需要由專(zhuān)業(yè)開(kāi)發(fā)人員在應用模型中進(jìn)行配置。不過(guò)，Mendix也能幫用戶(hù)實(shí)現這些配置。Mendix平臺為企業(yè)的團隊提供了在實(shí)體、模塊和項目級別配置安全性的所有標準工具。

如何實(shí)現快速開(kāi)發(fā)并保持安全？

在傳統軟件開(kāi)發(fā)的過(guò)程中，程序員需要特意考慮應用程序各方面的安全性。雖然低代碼也不例外，但之后的操作卻有所不同。借助Mendix的低代碼平臺，企業(yè)可以為應用程序構建可復用的組件。組件在通過(guò)安全檢查之后，無(wú)需重新評估即可在其他應用程序中反復使用。而在傳統開(kāi)發(fā)模式下，要么企業(yè)安全協(xié)議會(huì )發(fā)生變化，要么就需要更新組件。企業(yè)可以把這些組件存放在用于內部共享應用程序和組件的私有Mendix Market Place。

傳統開(kāi)發(fā)需要逐行對代碼進(jìn)行分析。而使用Mendix平臺開(kāi)發(fā)時(shí)，由于用戶(hù)編寫(xiě)的軟件代碼較少，因此之后安全檢查的工作量也較少。

例如，在傳統開(kāi)發(fā)中，用戶(hù)必須設置授權方案，沒(méi)有單一而明確的事實(shí)來(lái)源。但是在Mendix平臺中，用戶(hù)可以在同一環(huán)境中構建一個(gè)域模型，設置不同的訪(fǎng)問(wèn)權限。用戶(hù)還能使用微流，重復使用為特定微流配置的實(shí)體訪(fǎng)問(wèn)。此外，用戶(hù)也可以為每個(gè)微流添加特定的安全設置。用戶(hù)可以給微流創(chuàng )建名稱(chēng)和文檔詳細說(shuō)明該微流的隱私和安全規則，以便之后進(jìn)行搜索和識別。

治理工具

Mendix平臺的架構設計降低了各個(gè)級別的風(fēng)險，但是我們知道，更強大的安全性需要良好的治理。要加快開(kāi)發(fā)的速度，需要更多的人參與到應用開(kāi)發(fā)的生命周期中，加強反饋循環(huán)或是讓業(yè)務(wù)領(lǐng)域專(zhuān)家成為公民開(kāi)發(fā)者。當然，這需要建立相應的保護措施，以確保他們以安全的方式完成開(kāi)發(fā)。

Mendix對良好治理的必要性有著(zhù)充分的認知。我們的治理框架經(jīng)過(guò)試用和測試，與Mendix數字執行程序保持一致，基于企業(yè)低代碼平臺對人員、流程、產(chǎn)品組合和平臺進(jìn)行全方位的考量，可確保公民和專(zhuān)業(yè)開(kāi)發(fā)者創(chuàng )建的應用符合企業(yè)和行業(yè)的指導方針和法規。

我們同樣幫企業(yè)做到良好治理。為幫助企業(yè)遵守治理標準，實(shí)現把控，Mendix提供了開(kāi)箱即用的治理工具，來(lái)幫助企業(yè)管理越來(lái)越多的應用。

控制中心可以提供對Mendix平臺所有行為的洞察、概覽和控制。企業(yè)可以分配和刪除管理員，查看成員及其所做項目的介紹，詳細了解進(jìn)行中的應用程序項目狀態(tài)以及之前提交的內容。

Mendix基于技能的兩個(gè)集成開(kāi)發(fā)環(huán)境具備一系列編程能力，可以讓開(kāi)發(fā)人員協(xié)作構建和部署解決方案。

Mendix應用程序測試套件中的工具，可以實(shí)現開(kāi)發(fā)生命周期中的自動(dòng)化測試。我們的產(chǎn)品組合質(zhì)量監控工具M(jìn)endix應用程序質(zhì)量監控器 （AQM）是一項云服務(wù)，可依據軟件質(zhì)量模型標準ISO 25010對Mendix應用程序模型進(jìn)行靜態(tài)分析。Mendix AQM還可以幫助用戶(hù)主動(dòng)確定相關(guān)質(zhì)量問(wèn)題的性質(zhì)和位置。此外，Mendix APM工具可以記錄所有級別的日志記錄、分析Mendix應用程序的性能并測量?jì)却婧虲PU使用率。

安全永無(wú)止境

保障應用安全是一項艱巨的任務(wù)。企業(yè)的首要目標是創(chuàng )造業(yè)務(wù)價(jià)值，但確保企業(yè)和客戶(hù)數據安全同樣不容小覷。因此，企業(yè)必須在更快地開(kāi)發(fā)出更多應用和確保安全之間找到平衡。即使開(kāi)發(fā)應用的速度再快，功能和界面再酷炫，如果無(wú)法保證使用和數據的安全性，也毫無(wú)用處。

正是因為認識到這一點(diǎn)，Mendix設計的Mendix平臺，在幫助企業(yè)更快構建和部署的同時(shí)，更好地把控安全。