API NEWS | 国际最新API文章分享

admin 2022年4月7日20:40:18安全闲碎评论19 views2866字阅读9分33秒阅读模式

API NEWS | 国际最新API文章分享


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

•  2022 年云原生安全的六个关键领域

•  API 治理初学者指南

•  如何通过采用 DevOps 来提高 API 安全性的想法

•  关于锁定 API 的三种方法的观点


2022 年云原生安全的六个关键领域


近期来自Tripwire的文章,讨论了 2022 年云原生安全的六个关键领域——API 安全以及供应链安全被突出显示并不令人意外。作者认为这两个新的安全问题密切相关:您的供应链通过 API 暴露给供应商或第三方。了解如何最小化这种攻击面是降低风险的关键。


API NEWS | 国际最新API文章分享


供应链漏洞在当今高速数字世界中越来越普遍,在这个世界中,软件是由组合而不是编写的。现代应用程序主要由第三方组件和库组成,许多服务由供应商和第三方提供。此供应链中的弱点使组织面临风险,因为攻击者可能同时访问供应链的上游和下游元素。例如,他们可以注入恶意代码或泄露敏感数据。通过最小化第三方可访问的数据和系统的范围,可以降低供应链风险。


API 越来越成为攻击组织及其供应链的渠道。作者推荐以下做法,以通过此攻击向量将风险降至最低:

• API 安全性应在开发生命周期中尽早解决。

• 由于在许多情况下 API 可以公开访问,因此安全性必须是优先事项。

• API 安全应在软件开发生命周期内实现自动化,以减少人为错误并最大限度地减少开发人员的工作量。


API 治理初学者指南


良好的 API 治理是安全 API 组合的关键要素,本周 Security Boulevard就良好 API 治理的核心要素发表了意见。

API 治理是一组设计、开发和部署 API 的原则,通常包括 API 文档的标准化方法、满足特定的安全标准以及对整个 API 环境进行审计。

API NEWS | 国际最新API文章分享


文章推荐了以下五个 API 治理的关键原则:

• 一致性:API 应该易于使用,使用标准化的数据字典和版本控制,并且在端点和参数命名约定上保持一致。

• 可预测性(管理复杂性):API 应该“永远在线”:关注可靠性、可扩展性和可维护性。

• 安全性和合规性:确保您了解自己的 API 资产、使用安全的开发流程、执行安全测试并管理新出现的威胁。

• 互操作性(价值和业务一致性):确保您的 API 可互操作以简化采用,从而推动收入回报。

• 质量 API 文档系统:文档完善的 API 是易于使用的 API。


这里的关键要点是,API 可能不可靠、文档记录不完善、互操作性差,如果没有适当的治理流程,会变得不安全。


DevOps 速度下的安全 API


DevOps.com 就 API 安全性为何对采用全自动 DevOps 开发流程的组织越来越重要提供了他们的想法。尽管 DevOps 流程具有许多积极的业务优势——例如更快的上市时间、提高效率、降低成本和提高质量——但它并非没有挑战,尤其是在安全性方面。

API NEWS | 国际最新API文章分享


API 对 DevOps 的重要性


自动化的普及与应用程序编程接口 (API) 对于任何组织的 DevOps 旅程的重要性有关。用IBM的话来说,API “使公司能够向外部第三方开发人员、业务合作伙伴和公司内部部门开放其应用程序的数据和功能。” 因此,API 使不同公司的服务和产品能够以一种为用户简化和/或增强功能的方式相互通信。

也就是说,用户并不是唯一受益于 API 的人。DevOps 团队也是如此。其中许多团队成员将处理日益自动化的流程作为日常任务的一部分,因此他们需要 API 来帮助他们部署和配置其基础架构。API 还可以帮助 DevOps 团队在运行时获取有关应用程序的详细信息。DevOps 员工可以利用这些洞察力在问题导致中断之前主动解决问题。


作者列举了两个主要挑战:

• 快速的开发过程:缩短开发周期意味着安全测试变得具有挑战性,特别是在基于手动过程的情况下,例如渗透测试。更短的周期时间也意味着开发人员可能会引入导致易受攻击的最终产品的编码错误。

• 协作不佳:除非开发和运营团队(以及安全团队)使用统一流程顺利协作,否则在关键主题(例如凭证、令牌和秘密管理)上可能存在差距或缺陷。



本文提供了以下建议,以提高 DevOps 流程中的 API 安全性:

• 将安全性紧密集成到 DevOps 流程中并大量利用自动化。

• 在运行时保护 API,以确保缓解任何无意引入的漏洞,直到在后续版本中修复。

• 拥抱 DevOps 带来的文化变革,对开发人员进行交叉培训,使其成为在其 API 中考虑安全问题的安全拥护者。



锁定 API 的三种方法


最后,近期我们听取了流行的安全学习平台 Secure Code Warrior 的联合创始人兼首席执行官 Pieter Danhieux对锁定 API 的三种方法的看法。

Danhieux 指出,API 开发在某种程度上不受监管,并且经常被安全团队忽视,他们可能更熟悉 Web 应用程序安全性。API 也经常为定制功能而设计,并且可能由不完全了解安全注意事项的开发人员编写。

API NEWS | 国际最新API文章分享


作者确定了三种新兴的攻击类别,即:

• 包括对所有 API 的严格身份控制:使用配置良好的基于角色的访问控制来最小化 API 访问范围,并确保身份得到积极管理。

• 严格控制 API 进行的各种调用:最小化 API 访问范围,以确保攻击者在发生违规时横向遍历的能力受到限制。

• 使用分层方法:确保 API 具有精确的上下文和目的,并且不会暴露过多的数据。分层组合 API 以将功能限制在必要的最低限度。


感谢 APIsecurity.io 提供相关内容

关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。


往期 · 推荐

API NEWS | 国际最新API文章分享

API NEWS | 国际最新API文章分享

API NEWS | 国际最新API文章分享

API NEWS | 国际最新API文章分享

API NEWS | 国际最新API文章分享

原文始发于微信公众号(星阑科技):API NEWS | 国际最新API文章分享

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日20:40:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  API NEWS | 国际最新API文章分享 http://cn-sec.com/archives/883711.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: