Mendix相信，低代碼開發的安全性和隱私保護離不開信任。Mendix、用(yong)戶(hu)及(ji)其(qi)客(ke)戶(hu)需(xu)要(yao)建(jian)立(li)起(qi)信(xin)任(ren)的(de)紐(niu)帶(dai)。企(qi)業(ye)用(yong)低(di)代(dai)碼(ma)開(kai)發(fa)應(ying)用(yong)時(shi)
，不(bu)僅(jin)想(xiang)加(jia)快(kuai)開(kai)發(fa)和(he)部(bu)署(shu)的(de)速(su)度(du)，還(hai)要(yao)相(xiang)信(xin)應(ying)用(yong)可(ke)以(yi)為(wei)企(qi)業(ye)自(zi)身(shen)及(ji)其(qi)客(ke)戶(hu)提(ti)供(gong)全(quan)方(fang)位(wei)的(de)安(an)全(quan)保(bao)障(zhang)。

為貫徹這一理念

，Mendix貫徹了“安全設計(Security by Design )”的概念，借助開箱即用的安全工具、開發方法和治理工具

，確保無論由誰開發應用程序

，企業及其客戶的數據安全都能得到保障。

Mendix如何保障低代碼開發安全性？

在使用 Mendix 構建應用程序時，Mendix 平台可以提供程序安全性服務，因此用戶無需擔憂。

隨著企業不斷地引入新的軟件
，企業內部的IT 係xi統tong變bian得de越yue來lai越yue複fu雜za。麵mian對dui越yue發fa複fu雜za和he分fen散san的de係xi統tong，用yong戶hu很hen難nan避bi免mian來lai自zi黑hei客ke的de侵qin害hai。信xin息xi安an全quan威wei脅xie始shi終zhong是shi一yi個ge問wen題ti，而er企qi業ye麵mian臨lin的de成cheng本ben和he風feng險xian則ze日ri益yi高gao企qi。

麵對這些挑戰
，以Mendix為(wei)代(dai)表(biao)的(de)低(di)代(dai)碼(ma)開(kai)發(fa)平(ping)台(tai)提(ti)供(gong)了(le)出(chu)色(se)的(de)解(jie)決(jue)方(fang)案(an)，豐(feng)富(fu)的(de)開(kai)箱(xiang)即(ji)用(yong)安(an)全(quan)功(gong)能(neng)，可(ke)以(yi)幫(bang)助(zhu)企(qi)業(ye)實(shi)現(xian)一(yi)般(ban)用(yong)戶(hu)難(nan)以(yi)理(li)解(jie)和(he)執(zhi)行(xing)的(de)平(ping)台(tai)級(ji)標(biao)準(zhun)化(hua)。

針對當下海量的應用程序和技術，Mendix提供了一體化的解決方案，讓複雜係統的構建變得簡單。作為一個低代碼全棧開發工具
，Mendix平台以更低的成本實現更加簡單
、安全的安全管理。Mendix為用戶提供開箱即用的安全性
，並且還可進一步配置帶有保護措施的安全設置，以滿足企業的特定需求。Mendix 平台的架構設計，可以降低各類型用戶的使用風險。這一設計貫穿了基礎設施層、平台層、服務器層，以及提供業務價值的應用程序層。

分層式的安全

在基礎設施層與平台層，Mendix都擁有最高級別的認證。

為提供全天候的網絡安全監測
，Mendix和西門子均通過與端點安全軟件即服務領導廠商CrowdStrike的合作來實現。我們每個月會進行滲透測試，Mendix平台的成千上萬的客戶也會對其應用程序進行滲透測試。Menxi還與 HackerOne 合作開展了漏洞披露項目，以實現眾包安全。而所有這些都由Mendix 負責，用戶隻需放心使用。

此外，用戶還可以根據需要來配置 IP 白名單，應用客戶端證書，以實現基於角色的訪問控製。

Mendix還有一款通過AWS 雲提供的名為 Mendix Cloud Dedicated 的專用產品
，可以為用戶提供專享的所有Mendix 雲安全功能。用戶使用 Mendix Cloud Dedicated
，就可通過 VPN來連接網絡，以免有人通過公共互聯網進行訪問。

在服務器層，我們可以匹配企業使用的SAML、Open id、Azure ID 等各種單點登錄（SSO）策略。我們還為企業提供針對Mendix 應用程序的各種監控和洞察。今年，Mendix還發布了使用 Micrometer添加企業自己的中央監控的新方法。Micrometer 是一種儀表外觀
，可以提供多家廠商的度量標準，為用戶提供更強大的入侵監控。

當然，這並不是說企業對應用程序保護完全沒有控製權（也不應該
，因為每個企業和應用都有自身特定的隱私和安全需求）。例如，應用級授權和訪問權限需要由專業開發人員在應用模型中進行配置。不過，Mendix也能幫用戶實現這些配置。 Mendix 平台為企業的團隊提供了在實體、模塊和項目級別配置安全性的所有標準工具。

如何實現快速開發並保持安全？

在傳統軟件開發的過程中
，程序員需要特意考慮應用程序各方麵的安全性。雖然低代碼也不例外，但之後的操作卻有所不同。借助 Mendix 的(de)低(di)代(dai)碼(ma)平(ping)台(tai)，企(qi)業(ye)可(ke)以(yi)為(wei)應(ying)用(yong)程(cheng)序(xu)構(gou)建(jian)可(ke)複(fu)用(yong)的(de)組(zu)件(jian)。組(zu)件(jian)在(zai)通(tong)過(guo)安(an)全(quan)檢(jian)查(zha)之(zhi)後(hou)
，無(wu)需(xu)重(zhong)新(xin)評(ping)估(gu)即(ji)可(ke)在(zai)其(qi)他(ta)應(ying)用(yong)程(cheng)序(xu)中(zhong)反(fan)複(fu)使(shi)用(yong)。而(er)在(zai)傳(chuan)統(tong)開(kai)發(fa)模(mo)式(shi)下(xia)，要(yao)麼(me)企(qi)業(ye)安(an)全(quan)協(xie)議(yi)會(hui)發(fa)生(sheng)變(bian)化(hua)
，要(yao)麼(me)就(jiu)需(xu)要(yao)更(geng)新(xin)組(zu)件(jian)。企(qi)業(ye)可(ke)以(yi)把(ba)這(zhe)些(xie)組(zu)件(jian)存(cun)放(fang)在(zai)用(yong)於(yu)內(nei)部(bu)共(gong)享(xiang)應(ying)用(yong)程(cheng)序(xu)和(he)組(zu)件(jian)的(de)私(si)有(you)Mendix Market Place。

傳統開發需要逐行對代碼進行分析。而使用Mendix平台開發時
，由於用戶編寫的軟件代碼較少，因此之後安全檢查的工作量也較少。

例如，在傳統開發中，用戶必須設置授權方案，沒有單一而明確的事實來源。但是在 Mendix 平ping台tai中zhong，用yong戶hu可ke以yi在zai同tong一yi環huan境jing中zhong構gou建jian一yi個ge域yu模mo型xing
，設she置zhi不bu同tong的de訪fang問wen權quan限xian。用yong戶hu還hai能neng使shi用yong微wei流liu，重zhong複fu使shi用yong為wei特te定ding微wei流liu配pei置zhi的de實shi體ti訪fang問wen。此ci外wai，用yong戶hu也ye可ke以yi為wei每mei個ge微wei流liu添tian加jia特te定ding的de安an全quan設she置zhi。用yong戶hu可ke以yi給gei微wei流liu創chuang建jian名ming稱cheng和he文wen檔dang詳xiang細xi說shuo明ming該gai微wei流liu的de隱yin私si和he安an全quan規gui則ze
，以yi便bian之zhi後hou進jin行xing搜sou索suo和he識shi別bie。

治理工具

Mendix平ping台tai的de架jia構gou設she計ji降jiang低di了le各ge個ge級ji別bie的de風feng險xian，但dan是shi我wo們men知zhi道dao，更geng強qiang大da的de安an全quan性xing需xu要yao良liang好hao的de治zhi理li。要yao加jia快kuai開kai發fa的de速su度du
，需xu要yao更geng多duo的de人ren參can與yu到dao應ying用yong開kai發fa的de生sheng命ming周zhou期qi中zhong，加jia強qiang反fan饋kui循xun環huan或huo是shi讓rang業ye務wu領ling域yu專zhuan家jia成cheng為wei公gong民min開kai發fa者zhe。當dang然ran，這zhe需xu要yao建jian立li相xiang應ying的de保bao護hu措cuo施shi，以yi確que保bao他ta們men以yi安an全quan的de方fang式shi完wan成cheng開kai發fa。

Mendix對良好治理的必要性有著充分的認知。我們的治理框架經過試用和測試
，與Mendix數字執行程序保持一致，基於企業低代碼平台對人員
、流程、產品組合和平台進行全方位的考量，可確保公民和專業開發者創建的應用符合企業和行業的指導方針和法規。

我們同樣幫企業做到良好治理。為幫助企業遵守治理標準，實現把控，Mendix提供了開箱即用的治理工具，來幫助企業管理越來越多的應用。

控製中心可以提供對Mendix 平台所有行為的洞察
、概覽和控製。企業可以分配和刪除管理員
，查看成員及其所做項目的介紹
，詳細了解進行中的應用程序項目狀態以及之前提交的內容。

Mendix基於技能的兩個集成開發環境具備一係列編程能力，可以讓開發人員協作構建和部署解決方案。

Mendix 應用程序測試套件中的工具
，可以實現開發生命周期中的自動化測試。我們的產品組合質量監控工具 Mendix 應用程序質量監控器 （AQM）是一項雲服務，可依據軟件質量模型標準 ISO 25010對 Mendix 應用程序模型進行靜態分析。Mendix AQM 還可以幫助用戶主動確定相關質量問題的性質和位置。此外
，Mendix APM工具可以記錄所有級別的日誌記錄、分析Mendix應用程序的性能並測量內存和 CPU 使用率。

安全永無止境

baozhangyingyonganquanshiyixiangjianjuderenwu。qiyedeshouyaomubiaoshichuangzaoyewujiazhi，danquebaoqiyehekehushujuanquantongyangburongxiaoqu。yinci，qiyebixuzaigengkuaidikaifachugengduoyingyonghequebaoanquanzhijianzhaodaopingheng。jishikaifayingyongdesuduzaikuai
，gongnenghejiemianzaikuxuan，ruguowufabaozhengshiyongheshujudeanquanxing，yehaowuyongchu。

正是因為認識到這一點

，Mendix設計的Mendix 平台，在幫助企業更快構建和部署的同時
，更好地把控安全。

（作者：Mendix 首席信息安全官Frank Baalbergen）