山寨程序员:不可被忽视的安全风险

对于大多数人来说,目前的流水线式的开发平台仍然相当高深,很难通过这样的平台将多种应用程序整合起来,形成适合企业自己办公习惯的工具软件。

而随着技术的发展,开发平台的使用将变得越来越简单,对于开发者的技术要求也越来越低,同时开发周期也将大幅度缩短。具Gartner预测,到2014年,企业办公软件中约四分之一属于这种由最终用户自行设计开发的程序。

但Gartner表示,虽然这种办公软件会让员工的工作效率有所提升,但是同时也会将企业的敏感数据带入到企业无法控制的环境中,为企业信息安全带来了风险。

Gartner的Ian Finley认为,基于云的应用程序开发和部署平台,尤其是高效率的PaaS环境,使得企业可以在自身防火墙保护范围之外更快速的搭建应用程序。他说: “虽然很多PaaS平台能够提供优秀的安全性能,终端用户却并不一定会有效的利用这些安全性能。”

Gartner近日的另一份研究报告进一步印证了此类应用程序存在安全隐患的观点。该报告表示,非专业的开发人员“开发出来的不安全的应用程序越来越多的被黑客利用,成为攻击行为的中介。”

很多PaaS平台会将软件的开发限制在通过一系列模块组合成企业所需软件的范围,即尽量少让企业用户自行编写代码,从而降低黑客利用代码漏洞或执行恶意代码的机会。但是据信息安全公司Integralis研究表示,此类程序仍然面临安全风险,即从后台泄露企业信息。

Integralis安全策略部门经理Garry Sidaway表示:“很多程序所拥有的权限远大于它们实际需要的权限,而其中存在的安全漏洞与其在何处开发或如何开发无关。”他还表示,企业必须确保在自行开发程序的每一步都要经过安全评估和测试。

但Gartner的Finley还认为,企业寻求保护数据安全,不应该通过阻止终端开发者建立企业自己的应用程序来实现,因为这会阻碍一条很有前途的革新方式。

他引用一份调查表示,在美国“部分工作时间里会像专业程序员那样编程”的人数已经是以往的四倍了。他认为,与其阻拦,不如“为终端程序员指引安全的编程道路”,为这些非专业的程序员提供安全编程和组建应用程序的建议。他说:“针对非专业开发人员的开发工具除了能为这些终端用户提供方便外,还为IT管理者提供了监控风险的机会。”

Finley 表示,终端用户的开发行为可以追溯到最初的PC时代,但是现在随着技术的简单化,以及人们追求程序多样化和个性化的趋势下,终端开发者越来越多了。他说: “在上世纪80年代,人们只敢在电脑上输入数据或输出报表,而如今几乎每个员工都敢在自己的电脑上下载任何自己感兴趣的软件并且用这些软件来处理企业数据。这种情况来自于企业中开发人员的增多,计算机技术的消费化趋势,以及软件厂商如微软或Salesforce.com对于软件的用户友好程度不断加强的结果。”

“随着终端用户开发的程序不断增多,企业数据出现危险的可能性也在增加。实际上,网络的危险早已存在,现在已经到了我们不得不认真面对的时候了。”