近年来，随着数字化转型加速，企业越来越依赖API（应用程序编程接口）来实现不同系统和服务之间的互联互通。然而，随着API的使用量激增，API管理不善的问题日益凸显，给企业带来巨大的经济损失和信誉损害。本文将深入探讨OWASP API安全中的第9项——库存管理不当。

API存量资产管理的意义

有效的API资产管理是保障系统安全与可靠性的关键环节，包括详尽记录API端点、各个版本信息及潜在安全漏洞。否则旧版本中的安全问题会被忽视，系统将被暴露在持续的安全威胁下。因此，定期审计和更新API库存，确保所有组件都有适当安全加固，是保障数字基础设施安全的基石。

企业保留旧版API是为了确保系统兼容性，同时也对API安全性提出严峻挑战。新版本API可能已经修复了之前存在的安全漏洞，但如果旧版本仍在系统中使用，并且连接到相同的后端逻辑和数据库，那这些漏洞就会处于暴露状态。这意味着，即使新版本已经消除安全威胁，攻击者仍然可以通过旧版本、不再受支持的API来利用漏洞。

API库存管理不当存在的风险

1.利用未解决的漏洞：攻击者通过仍可访问的旧版本API利用未解决的安全漏洞实施攻击，可能导致未经授权的访问、数据泄露，甚至危及整个系统。

2.漏洞放大：如果可信API依赖旧的、易受攻击的版本，安全风险可能在整个系统中传播。这种放大效应增加了漏洞的潜在影响，使整个应用程序面临风险。

3.交叉兼容性挑战：交叉兼容性挑战要求维护旧API端点时应在避免兼容性问题和及时解决安全漏洞之间找到平衡。

API的交叉兼容性挑战指在技术演进中，新旧API版本需要协同工作以保持现有系统的兼容性和功能的连续性。这种挑战要求开发者在推进安全性改进和功能更新时，同时确保旧版本API仍能被新系统识别和使用，避免给用户造成不必要的中断或混淆。为应对这一挑战，需采取适当的版本控制和适配措施、制定明确的过渡计划，帮助用户和开发者平稳过渡到新API版本。

有效API库存管理策略

1.维护更新的API清单：定期更新和维护API的清单，包括版本、端点和相关安全漏洞，有助于识别潜在风险并确定安全更新的优先顺序。

2.评估向后兼容性：评估向后兼容性的必要性，并确定是否有必要继续支持旧的API版本。某些情况下鼓励用户迁移到最新安全版本更为谨慎。

3.文档和沟通：保持API文档最新且易于访问，确保开发人员和用户了解最新的安全措施及已弃用或易受攻击的API接口。

4.及时进行安全更新：积极解决旧API版本中的安全漏洞，遗留软件的应用安全更新对漏洞利用和维护整体系统安全至关重要。

梆梆安全API安全平台在流量中使用自研资产识别引擎，自动化发现所有内部使用、外部共享和第三方组件的API资产，有效识别API后进行自动化归类，并快速分组和打标签，为企业形成清晰的资产台账，帮助企业掌握全局API资产。

同时由业务下线、版本升级、API弃用等各种原因导致的一些API未能及时下线、API未被及时管理等，这类API处于长期无人访问并无人维护且在还在线上运行，产品采用行为分析技术可有效发现僵尸/影子API，帮助企业进行统一管理。

推荐阅读

Recommended

>API 安全专题（15）| 2024 年 API 安全风险趋势与预测

>API 安全专题（14）| 为什么下一代WAF解决不了API的新威胁？

>API 安全专题（13）|如何识别和阻止可疑的API流量？

原文始发于微信公众号（梆梆安全）：API 安全专题（16）| API存量资产管理不当的风险和应对策略简析