Mendix相信，低代碼開發(fā)的安全性和隱私保護離不開信任。Mendix、用戶及其客戶需要建立起信任的紐帶。企業(yè)用低代碼開發(fā)應用時，不僅想加快開發(fā)和部署的速度，還要相信應用可以為企業(yè)自身及其客戶提供全方位的安全保障。

為貫徹這一理念，Mendix貫徹了“安全設計(Security by Design)”的概念，借助開箱即用的安全工具、開發(fā)方法和治理工具，確保無論由誰開發(fā)應用程序，企業(yè)及其客戶的數(shù)據(jù)安全都能得到保障。

Mendix如何保障低代碼開發(fā)安全性？

在使用Mendix構建應用程序時，Mendix平臺可以提供程序安全性服務，因此用戶無需擔憂。

隨著企業(yè)不斷地引入新的軟件，企業(yè)內部的IT系統(tǒng)變得越來越復雜。面對越發(fā)復雜和分散的系統(tǒng)，用戶很難避免來自黑客的侵害。信息安全威脅始終是一個問題，而企業(yè)面臨的成本和風險則日益高企。

面對這些挑戰(zhàn)，以Mendix為代表的低代碼開發(fā)平臺提供了出色的解決方案，豐富的開箱即用安全功能，可以幫助企業(yè)實現(xiàn)一般用戶難以理解和執(zhí)行的平臺級標準化。

針對當下海量的應用程序和技術，Mendix提供了一體化的解決方案，讓復雜系統(tǒng)的構建變得簡單。作為一個低代碼全棧開發(fā)工具，Mendix平臺以更低的成本實現(xiàn)更加簡單、安全的安全管理。Mendix為用戶提供開箱即用的安全性，并且還可進一步配置帶有保護措施的安全設置，以滿足企業(yè)的特定需求。

Mendix平臺的架構設計，可以降低各類型用戶的使用風險。這一設計貫穿了基礎設施層、平臺層、服務器層，以及提供業(yè)務價值的應用程序層。

分層式的安全

在基礎設施層與平臺層，Mendix都擁有最高級別的認證。

為提供全天候的網(wǎng)絡安全監(jiān)測，Mendix和西門子均通過與端點安全軟件即服務領導廠商CrowdStrike的合作來實現(xiàn)。我們每個月會進行滲透測試，Mendix平臺的成千上萬的客戶也會對其應用程序進行滲透測試。Menxi還與 HackerOne合作開展了漏洞披露項目，以實現(xiàn)眾包安全。而所有這些都由Mendix負責，用戶只需放心使用。

此外，用戶還可以根據(jù)需要來配置IP白名單，應用客戶端證書，以實現(xiàn)基于角色的訪問控制。

Mendix還有一款通過AWS 云提供的名為 Mendix Cloud Dedicated 的專用產品，可以為用戶提供專享的所有Mendix 云安全功能。用戶使用 Mendix Cloud Dedicated，就可通過 VPN來連接網(wǎng)絡，以免有人通過公共互聯(lián)網(wǎng)進行訪問。

在服務器層，我們可以匹配企業(yè)使用的SAML、Open id、Azure ID 等各種單點登錄（SSO）策略。我們還為企業(yè)提供針對Mendix應用程序的各種監(jiān)控和洞察。今年，Mendix還發(fā)布了使用 Micrometer添加企業(yè)自己的中央監(jiān)控的新方法。Micrometer是一種儀表外觀，可以提供多家廠商的度量標準，為用戶提供更強大的入侵監(jiān)控。

當然，這并不是說企業(yè)對應用程序保護完全沒有控制權（也不應該，因為每個企業(yè)和應用都有自身特定的隱私和安全需求）。例如，應用級授權和訪問權限需要由專業(yè)開發(fā)人員在應用模型中進行配置。不過，Mendix也能幫用戶實現(xiàn)這些配置。Mendix平臺為企業(yè)的團隊提供了在實體、模塊和項目級別配置安全性的所有標準工具。

如何實現(xiàn)快速開發(fā)并保持安全？

在傳統(tǒng)軟件開發(fā)的過程中，程序員需要特意考慮應用程序各方面的安全性。雖然低代碼也不例外，但之后的操作卻有所不同。借助Mendix的低代碼平臺，企業(yè)可以為應用程序構建可復用的組件。組件在通過安全檢查之后，無需重新評估即可在其他應用程序中反復使用。而在傳統(tǒng)開發(fā)模式下，要么企業(yè)安全協(xié)議會發(fā)生變化，要么就需要更新組件。企業(yè)可以把這些組件存放在用于內部共享應用程序和組件的私有Mendix Market Place。

傳統(tǒng)開發(fā)需要逐行對代碼進行分析。而使用Mendix平臺開發(fā)時，由于用戶編寫的軟件代碼較少，因此之后安全檢查的工作量也較少。

例如，在傳統(tǒng)開發(fā)中，用戶必須設置授權方案，沒有單一而明確的事實來源。但是在Mendix平臺中，用戶可以在同一環(huán)境中構建一個域模型，設置不同的訪問權限。用戶還能使用微流，重復使用為特定微流配置的實體訪問。此外，用戶也可以為每個微流添加特定的安全設置。用戶可以給微流創(chuàng)建名稱和文檔詳細說明該微流的隱私和安全規(guī)則，以便之后進行搜索和識別。

治理工具

Mendix平臺的架構設計降低了各個級別的風險，但是我們知道，更強大的安全性需要良好的治理。要加快開發(fā)的速度，需要更多的人參與到應用開發(fā)的生命周期中，加強反饋循環(huán)或是讓業(yè)務領域專家成為公民開發(fā)者。當然，這需要建立相應的保護措施，以確保他們以安全的方式完成開發(fā)。

Mendix對良好治理的必要性有著充分的認知。我們的治理框架經(jīng)過試用和測試，與Mendix數(shù)字執(zhí)行程序保持一致，基于企業(yè)低代碼平臺對人員、流程、產品組合和平臺進行全方位的考量，可確保公民和專業(yè)開發(fā)者創(chuàng)建的應用符合企業(yè)和行業(yè)的指導方針和法規(guī)。

我們同樣幫企業(yè)做到良好治理。為幫助企業(yè)遵守治理標準，實現(xiàn)把控，Mendix提供了開箱即用的治理工具，來幫助企業(yè)管理越來越多的應用。

控制中心可以提供對Mendix平臺所有行為的洞察、概覽和控制。企業(yè)可以分配和刪除管理員，查看成員及其所做項目的介紹，詳細了解進行中的應用程序項目狀態(tài)以及之前提交的內容。

Mendix基于技能的兩個集成開發(fā)環(huán)境具備一系列編程能力，可以讓開發(fā)人員協(xié)作構建和部署解決方案。

Mendix應用程序測試套件中的工具，可以實現(xiàn)開發(fā)生命周期中的自動化測試。我們的產品組合質量監(jiān)控工具Mendix應用程序質量監(jiān)控器 （AQM）是一項云服務，可依據(jù)軟件質量模型標準ISO 25010對Mendix應用程序模型進行靜態(tài)分析。Mendix AQM還可以幫助用戶主動確定相關質量問題的性質和位置。此外，Mendix APM工具可以記錄所有級別的日志記錄、分析Mendix應用程序的性能并測量內存和CPU使用率。

安全永無止境

保障應用安全是一項艱巨的任務。企業(yè)的首要目標是創(chuàng)造業(yè)務價值，但確保企業(yè)和客戶數(shù)據(jù)安全同樣不容小覷。因此，企業(yè)必須在更快地開發(fā)出更多應用和確保安全之間找到平衡。即使開發(fā)應用的速度再快，功能和界面再酷炫，如果無法保證使用和數(shù)據(jù)的安全性，也毫無用處。

正是因為認識到這一點，Mendix設計的Mendix平臺，在幫助企業(yè)更快構建和部署的同時，更好地把控安全。