本文來自網(wǎng)絡(luò)研究院。
Web開發(fā)自誕生以來已經(jīng)發(fā)生了巨大的變化。然而,一個普遍的問題仍然存在:前端開發(fā)人員仍然需要依賴后端開發(fā)人員來使用API、編寫后端代碼或解決安全問題。
這種依賴在前端和后端團(tuán)隊之間造成了分歧,阻礙了開發(fā)過程及其速度,并可能為安全漏洞打開大門。
現(xiàn)代前端開發(fā)的痛點
從歷史上看,前端開發(fā)人員主要負(fù)責(zé)創(chuàng)建Web應(yīng)用程序的用戶界面和用戶體驗。他們專注于應(yīng)用程序的客戶端,實現(xiàn)設(shè)計、結(jié)構(gòu)、行為以及用戶直接交互的所有內(nèi)容。
然而,應(yīng)用程序的快速服務(wù)以及API驅(qū)動服務(wù)不斷增加的集成需要了解后端操作。
這一要求給前端開發(fā)人員帶來了負(fù)擔(dān),他們現(xiàn)在必須應(yīng)對后端的復(fù)雜性,從而妨礙了他們的主要職責(zé)。
最重大的挑戰(zhàn)之一是前端開發(fā)人員需要經(jīng)常聯(lián)系后端工程師來解決訪問控制、安全問題和API集成問題。
這種來回通信可能會導(dǎo)致開發(fā)過程的延遲和中斷,從而降低應(yīng)用程序開發(fā)的速度。
前端開發(fā)人員和安全挑戰(zhàn)
隨著應(yīng)用程序變得越來越復(fù)雜,威脅形勢也在不斷發(fā)展,需要安全范式的轉(zhuǎn)變。特別是,零信任模型已經(jīng)受到重視,它倡導(dǎo)這樣一種信念:默認(rèn)情況下,任何個人或設(shè)備都不應(yīng)受到信任,無論其位置或網(wǎng)絡(luò)狀態(tài)如何。
然而,前端開發(fā)人員經(jīng)常被排除在安全和零信任對話之外。這種遺漏提出了一個重大問題,因為前端開發(fā)人員在開發(fā)堆棧中發(fā)揮著重要作用并與多個外部服務(wù)交互。
缺乏對安全實踐的參與使得前端開發(fā)人員沒有準(zhǔn)備好解決他們集成的服務(wù)中的潛在安全漏洞,從而使應(yīng)用程序和用戶數(shù)據(jù)面臨風(fēng)險。
讓前端開發(fā)人員參與安全是必須的
當(dāng)前的事態(tài)需要徹底的轉(zhuǎn)變,讓前端開發(fā)人員參與安全和零信任架構(gòu)的討論。通過這樣做,組織可以確保采用整體的安全方法,從而形成更具彈性的系統(tǒng)。
此外,授權(quán)前端開發(fā)人員處理與安全相關(guān)的問題符合快速應(yīng)用程序開發(fā)日益增長的需求。憑借正確的工具和知識,前端開發(fā)人員可以高效、安全地管理API集成和訪問控制,從而無需與后端工程師不斷溝通。
這種獨立性不僅加快了開發(fā)過程,還增強(qiáng)了應(yīng)用程序的整體安全狀況。
新興技術(shù)在增強(qiáng)前端開發(fā)人員能力方面的作用
僅前端授權(quán)(FoAz)等新興技術(shù)在推動這一轉(zhuǎn)變方面發(fā)揮著至關(guān)重要的作用。FoAz是創(chuàng)新解決方案的一個示例,它允許前端應(yīng)用程序強(qiáng)制對API進(jìn)行受保護(hù)的訪問,而無需專用后端。
它使前端開發(fā)人員能夠直接從前端安全地使用敏感資源,同時不會泄露任何秘密或敏感數(shù)據(jù)。
通過使前端開發(fā)人員能夠直接調(diào)用服務(wù)而無需后端工程參與,F(xiàn)oAz等工具顯著加快了開發(fā)過程,并降低了與前端開發(fā)人員處理敏感數(shù)據(jù)相關(guān)的安全風(fēng)險。
這意味著前端開發(fā)人員可以專注于創(chuàng)建用戶體驗的主要角色,而FoAz和類似技術(shù)則處理安全后端服務(wù)交互的復(fù)雜性。
當(dāng)我們不斷突破軟件復(fù)雜性的極限時,我們被迫進(jìn)一步向左移動?,F(xiàn)在,將前端開發(fā)人員全面納入安全流程至關(guān)重要。
FoAz等新興技術(shù)的結(jié)合有助于加快應(yīng)用程序開發(fā),并通過確保敏感數(shù)據(jù)交織到API中來增強(qiáng)安全性。
這種轉(zhuǎn)變有助于減輕應(yīng)用程序日益增加的威脅和風(fēng)險,滿足對開發(fā)速度不斷增長的需求,并確保安全狀況的持續(xù)改進(jìn)。