在越來越注重效率的時代，任何輕量化、簡潔和高效的工具總會受到人們青睞。

從2020年開始，低代碼以高效、靈活、穩定的特點成為備受業界青睞的開發模式，無論是資本市場還是企業用戶都紛紛追捧。

2021年初，低代碼被推上了“風口”，認為其將引領一場技術“革命”；騰訊云將其視為一種有益的技術手段；高瓴、IDG、華創資本等投資機構將其視為投資新賽道。

在很多IT專業人士眼中，低代碼平臺的茁壯發展幾乎是必然趨勢。

隨著當前企業數字化轉型不斷深入，快速、敏捷地開發數字化應用成為了實現業務數字化的關鍵。

低代碼開發為解決企業技術人員短缺、應用開發效率低下、成本高昂等問題提供了新的解題思路。

然而，低代碼開發在為企業打開“方便之門”的同時，也為威脅敞開了后門。企業在享受低代碼系統帶來的便利時，也往往埋下了系統附帶的安全問題隱患。

事實上，通過低代碼進行敏捷開發的理念早在30年前就已萌芽。

1980年，IBM的快速應用程序開發工具（RAD）就被冠以新的名稱——低代碼（當時還未被定義）。由此，低代碼的概念首次面向大眾。

2000年，一家美國公司研究的一項程序可視化編程的項目，做出了4GL“第四代編程語言”，這套編程語言衍生成VPL（Visual Programming Language可視化編程語言）。

2010年，麻省理工重新拾起了這個概念，他們將這一概念運用到了兒童編程領域，由此誕生了風靡全球的Scrath。

直到2014年，研究機構Forrester Research才正式提出了低代碼的定義，即利用很少或幾乎不需要寫代碼就可以快速開發應用，并可以快速配置和部署的一種技術和工具。

如今，低代碼已經從簡單的儀表板發展為復雜的應用程序，功能越來越多樣化，得到業界的廣泛采用。

2018年，Gartner提出aPaaS和iPaaS的概念。

自此，低代碼在國外開啟了他的狂奔模式，一大批優秀的低代碼開發平臺涌現出來，OutSystems、Mendix、Kony、Salesforce、App Maker（Google）、PowerApps（Microsoft）等。

國外低代碼發展的如火如荼時，國內一些公司也意識到了簡易的程序開發平臺的重要性。

從產品類型來看，中國目前的低代碼廠商主要分為兩類：應用衍生類廠商和原生低代碼廠商。

第一類應用衍生類SaaS廠商的基礎能力來源于具體應用或者業務流程領域，擅長提供成熟的應用模板，典型的應用領域包括業務流程管理（BPM）、協同辦公、CRM、ERP以及業財分析等。

第二類原生低代碼廠商基礎能力來源于開發環境和開發工具，擅長增強代碼開發能力。

這類廠商的發展路徑大致為，希望跳過SaaS應用開發這一過程，通過搭建aPaaS平臺向用戶提供低代碼開發服務。

代表企業包括國外的Mendix和OutSystems；國內則包括ClickPaaS、宜創科技、、簡道云和輕流等。

可以說，低代碼開發為企業降低了研發成本、人力成本，提升了效率，縮短了產品交付周期，使企業產品和服務能夠以更快的速度進行迭代和優化，并在激烈的市場競爭中脫穎而出。

據艾瑞咨詢發布的《2021年低代碼行業研究報告》，與2020年相比，中國低代碼市場規模將大幅增長至29.3億元，未來五年，市場規模有望達到131億元。

Gartner預測2024年應用軟件開發活動中，65%將通過低代碼方式完成，75%的大型企業將用至少四種低代碼開發工具開發應用。

但與傳統開發相比，低代碼涉及各種角色，共同構建應用程序，同時處理自動生成的代碼、現成的組件和內置的默認配置。作為一項尚不成熟的技術，低代碼仍有一些潛在風險點值得我們關注。

缺乏安全意識。低代碼工具的用戶很多來自商業背景，一些人員不熟悉應用程序安全最佳實踐，并且對潛在的漏洞和安全漏洞缺乏認識和了解。

編碼“黑盒”操作。過去，手動編碼由一支專業的IT人員和程序員負責編寫、檢查和測試。雖然這個過程未免漫長且磨人，但至少它所遵循的內在邏輯安全且透明。

但是，低代碼開發平臺中的組件是“黑盒”，其背后的邏輯并不對外展示，這些組件搭建起來是否相容、適配等均未知。一旦出現問題，企業將無法進行排查和解決。

平臺訪問和管理控制。低代碼集中部署，整個企業的用戶可通過瀏覽器進行訪問，這帶來了網絡入侵風險。

比如為未經授權的開發人員提供訪問權限，并為遠程訪問平臺時不需要它的用戶提供更大的權限。因此，在部署任何低代碼系統之前，企業應該限制數據的可訪問性。

第三方系統集成風險。第三方集成也會帶來一定比例的安全風險，因為大多數低代碼開發平臺依賴第三方系統來交換或傳輸數據，而組織無法定期跟進這些數據，從而為業務帶來了高風險。

而且，大多數第三方系統也使用低代碼功能，例如拖放、可視化圖形等，這也為企業帶來了不可控性。

審核供應商受限。大多數低代碼平臺安全控件對企業或組織都是可見的，不過也有部分低代碼平臺供應商不提供其整體平臺的管理員訪問權限，因此，企業需要使用第三方審核服務來檢查安全性，例如使用第三方安全工具、安全和合規性認證、服務水平協議以及網絡安全保險等。

因此，對應用程序訪問和數據進行保護就顯得至關重要。自動生成的代碼以及開發人員的遠程操作，將使低代碼的應用程序更容易受到漏洞的攻擊。

一個健康的低代碼平臺應該生成受到全方位保護的應用程序，從而避免遭受網絡釣魚攻擊、SQL注入、暴力攻擊和DOS攻擊，同時還應該提供全面的訪問控制機制，以防止未經授權訪問數據和應用程序功能。

此外，通過遠程團隊可以隨時隨地從任何設備訪問應用程序，通過適當的控制來防止數據泄露。

未來，隨著模型驅動越來越成為低代碼廠商采納的主要技術路徑，低代碼技術將日趨成熟，低代碼的應用將能夠拓展至企業級應用，將更夠支持更加復雜的場景。

從賦能IT人員到業務使用者、從簡單應用到復雜應用，未來越來越多的應用場景將被挖掘，低代碼的空間也將更加廣闊。

本文來自微信公眾號“科技云報道”（ID:ITCloud-BD），作者：科技云報道，36氪經授權發布。