Программирование с низким кодом: понимание будущего разработки программного обеспечения с Zenity

Понимание программирования с низким кодом с Майклом Баргури

Майкл Баргури много лет работал над облачной безопасностью в Microsoft, разрабатывая продукты безопасности, которые борются с новыми угрозами, такими как IoT, API и IaC.

Раскрытие личной заинтересованности: Автор является независимым автором, и, хотя HackerNoon проанализировал статью на предмет ее качества, претензии по данному вопросу принадлежат автору. #ДИОР

Интервью с Майклом Баргури, техническим директором Zenity

Ишан Панди: Привет, Майкл, добро пожаловать в нашу серию статей «За стартапом». Расскажите, пожалуйста, о себе и истории создания Zenity?

Майкл Баргури: Привет, Ишан, спасибо за приглашение. Меня всегда привлекали области, в которых не было много определенности, но было много открытий. Несколько лет я занимался облачной безопасностью в Microsoft, разрабатывая продукты для обеспечения безопасности, которые борются с новыми угрозами, такими как IoT, API и IaC. Моя роль заключалась в том, чтобы всегда быть в поиске следующего большого дела. Microsoft делала большие ставки на Power Platform и в то время ела свою собачью еду.

У нас было несколько сотен тысяч приложений (!!), разработанных с помощью Microsoft ИТ-подразделениями и бизнес-подразделениями, и меня пригласили в команду, которой было поручено выяснить, как мы решаем эту проблему безопасности. Мы пробовали несколько разных вещей и находились в разработке, когда разразился COVID и усилия были отменены. Параллельно с этим я стремился отправиться в собственное путешествие и искал БОЛЬШУЮ проблему, которую можно было бы решить, и сильного партнера, с которым я мог бы это сделать.

Мы с Беном Клигером работали вместе все время, пока мы работали в Microsoft, и всегда знали, что когда-нибудь мы хотели бы сделать что-нибудь вместе. Бен сыграл ключевую роль в расширении предложения Azure по обеспечению безопасности в облаке. После того, как мы связались и решили отправиться в это путешествие вместе, мы поговорили с несколькими десятками предприятий, включая Fortune 500, с техническими уровнями C и выяснили, что безопасность с низким кодом / без кода — это широко упускаемая из виду область в нашей отрасли и что компании борются прямо сейчас, и это будет только расти. Было ясно, что следующие годы мы посвятим решению этой проблемы.

Ишан Пандей: Расскажите, пожалуйста, немного о платформе Zenity?

***Майкл Баргури: ***Low-Code/No-Code — отличный инструмент. Самое классное в этом то, что он снижает планку для цифрового создателя. Таким образом, бизнес-подразделения внутри предприятия могут решать свои собственные задачи, не дожидаясь помощи ИТ-специалистов. Тем не менее, ИТ существует не просто так. Приложения должны быть безопасными, соответствовать требованиям, обеспечивать конфиденциальность клиентов, а также быть отказоустойчивыми и поддерживаться. Очень многое в наших системах безопасности зависит от сообразительности разработчиков. Можем ли мы потребовать того же от бизнес-пользователей? Корпоративные ИТ-специалисты и службы безопасности сегодня находятся между молотом и наковальней. Они либо поддерживают безопасность, блокируя инновации с низким кодом/без кода, либо повышают производительность, но теряют всю видимость и контроль.

Zenity позволяет организациям иметь и то, и другое. Он обеспечивает кросс-платформенную видимость, оценку рисков, мониторинг и управление, поэтому предприятие может полностью внедрить low-code/no-code без ущерба для безопасности. Специалисты по безопасности и ИТ могут устанавливать барьеры, реагировать на угрозы и следить за внедрением инноваций гражданскими разработчиками.

• Ишан Панди: Поскольку платформы с низким кодом и без кода позволяют даже тем, у кого нет опыта разработки, быстро создавать приложения, они также могут способствовать росту теневых ИТ. Что вы думаете об этой растущей проблеме на таких платформах?*

Майкл Баргури: Во-первых, я хочу признать, что это реальная проблема, с которой сегодня сталкиваются клиенты. Это не просто специализированные платформы с низким кодом/без кода, такие как Zapier или IFTTT. Кажется, сегодня каждый поставщик SaaS становится платформой для разработки. Salesforce, ServiceNow, Microsoft, Workday, Slack и другие компании встраивают свои сервисы в платформы с малым кодом/без кода, которые входят непосредственно в сердце предприятия. Это означает, что у предприятий нет возможности «остановить» гражданское развитие, и они должны столкнуться с этой новой реальностью.

Однако появление платформ low-code/no-coda следует считать благословением для команд безопасности, а не проклятием. В течение многих лет отрасль безуспешно пыталась решить проблему теневых ИТ или ее старого дядю, проблему DLP. Сложно понять, как перемещаются данные, когда пользователи используют «интеграцию копирования и вставки». Но когда пользователям предлагается автоматизировать перемещение данных с помощью low-code/no-code, внезапно появляется репозиторий средств перемещения данных, на которые могут посмотреть группы безопасности! Анализируя эти приложения, специалисты по безопасности могут получить беспрецедентную прозрачность и контроль над перемещением данных на предприятии. Итак, при наличии правильных ограждений и механизмов анализа безопасность должна подтолкнуть их организацию к использованию low-code/no-code.

Ишан Пандей: Каковы основные проблемы безопасности, связанные с приложениями с минимальным кодом и без кода?

Майкл Баргури: Проблема номер один, которая беспокоит службы безопасности, — это неправомерное использование идентификационных данных. Платформы с низким кодом / без кода позволяют производителям чрезвычайно легко встраивать свою идентичность в приложение. Все, кто его использует, делают это, выдавая себя за создателя. Уже один этот факт делает любое существующее решение по обеспечению безопасности устаревшим, от средств управления сетью до инструментов безопасности приложений с профессиональным кодом. Никто из них не может понять, что происходит, потому что, насколько они могут видеть, все действия делает производитель, а приложения даже не существует.

Другая проблема связана с потоком данных и контролем. Вы всегда на расстоянии одного клика от подключения личного кабинета и использования его в деловых целях, намеренно или по ошибке. В корпоративных настройках мы часто находим автоматизацию для синхронизации рабочих и личных учетных записей, обычно потому, что люди предпочитают читать свои профессиональные электронные письма вместе с личными. Разрастание микроприложений, созданных с помощью low-code/no-code, становится невозможным для управления, когда множество приложений беспрепятственно касаются, изменяют и перемещают данные.

Небезопасная аутентификация — еще одна насущная проблема.

По своей природе приложения с низким кодом / без кода связаны с подключением. Поскольку эти соединения создаются создателями, им приходится настраивать такие параметры, как отпечаток пальца SSH, шифрование FTP и другие нетривиальные параметры безопасности. Ошибки очень часто приводят к тому, что корпоративные данные или идентификационные данные отправляются по незащищенному каналу.

Мы возглавляем новую [группу OWASP] (https://owasp.org/www-project-top-10-low-code-no-code-security-risks/), которая сосредоточена на основных проблемах безопасности для низкоуровневых безопасность с кодом/без кода, вместе с сильными экспертами в отрасли.

Ишан Пандей: Методологии разработки программного обеспечения LC/NC могут поддерживать широкий спектр типов приложений. Не могли бы вы объяснить нашим читателям, какие основные типы приложений поддерживаются таким программным обеспечением LC/NC?

Майкл Баргури: Low-Code/no-code используется ИТ-специалистами и бизнес-пользователями для поддержки того, что раньше было исключительной обязанностью групп бизнес-приложений и интеграции. Предприятия создают критически важные для бизнеса приложения с минимальным кодом/без кода, а некоторые идут дальше и создают ориентированные на клиента приложения с минимальным кодом. Позвольте мне поделиться парой примеров.

Одним из типичных вариантов использования является оптимизация бизнес-процессов. В одной организации отдел кадров запускал новую программу подарков, в рамках которой сотрудники могли внести пожертвование и принять участие в розыгрыше. Сотрудники отдела кадров создали приложение, которое позволяло сотрудникам входить в систему с использованием своих корпоративных идентификаторов, выбирать пожертвования и упрощать оплату, чтобы упростить этот процесс. Этот тип приложений очень типичен, когда бизнес-подразделения облегчают и автоматизируют бизнес-процессы с помощью специального приложения. Обратите внимание, что приложение обрабатывает платежи, что влечет за собой критические риски безопасности и соответствия требованиям. В этой конкретной организации приложение было разработано без участия или проверки со стороны ИТ, что создавало финансовый риск.

Другим распространенным вариантом использования является автоматизация. Правила «если это, то то», которые помогают объединить разные системы, чтобы избежать ручной работы. Slack [известно] (https://www.workato.com/the-connector/how-slack-automated-order-to-cash/) автоматизирует весь процесс от заказа до оплаты, используя автоматизацию с низким кодом. Через утверждение контрактов, упрощение оплаты и аудит через Salesforce. Конечно, этот процесс настолько критичен, насколько это возможно. Крайне важно убедиться, что платежи клиентов проходят гладко и их можно отслеживать на протяжении всего их жизненного цикла.

Ишан Панди: Несмотря на то, что с платформами low-code/no-code возникают некоторые проблемы, расскажите, пожалуйста, об основных преимуществах таких платформ?

Майкл Баргури: На типичном предприятии бизнес-пользователи всегда борются за удовлетворение своих потребностей с помощью ИТ. Из-за нехватки разработчиков во всем мире и необходимости двигаться быстрее, чем когда-либо, предприятия просто застряли и вынуждены искать решения. Low-code/no-code передает власть людям, которые могут принести наибольшую пользу бизнесу, бизнес-пользователям. Вместо того, чтобы добиваться согласия руководства, уточнять требования у менеджеров по проектам, ждать определения приоритетов и работать с другим отделом организации, теперь бизнес-пользователи могут сосредоточиться на выполнении своей работы. Они лучше знают, что нужно бизнесу, а low-code/no-code дает им инструменты для быстрого и независимого действия на основе этих знаний.

Ишан Панди: Как выглядит дорожная карта Zenity и экосистемы LC/NC в целом?

Майкл Баргури: Zenity помогает предприятиям ускорить внедрение low-code/no-code без ущерба для безопасности. Мы являемся компанией, ориентированной прежде всего на предприятия, что означает, что мы соблюдаем самые высокие стандарты безопасности и соответствия, а также хорошо взаимодействуем с корпоративной экосистемой. В ближайшие месяцы Zenity сосредоточится на расширенных функциях управления, которые позволят администраторам инициировать немедленные действия, когда приложения будут признаны несоответствующими. Мы также работаем над тем, чтобы предоставить бизнес-пользователям прямую информацию о безопасности, помогая им в процессе создания безопасных и совместимых приложений.

Не забудьте поделиться историей и поставить лайк!