API NEWS | 国际最新API文章分享

本周，我们带来的分享如下：

•  2022 年云原生安全的六个关键领域

•  API 治理初学者指南

•  如何通过采用 DevOps 来提高 API 安全性的想法

•  关于锁定 API 的三种方法的观点

近期来自Tripwire的文章，讨论了 2022 年云原生安全的六个关键领域——API 安全以及供应链安全被突出显示并不令人意外。作者认为这两个新的安全问题密切相关：您的供应链通过 API 暴露给供应商或第三方。了解如何最小化这种攻击面是降低风险的关键。

供应链漏洞在当今高速数字世界中越来越普遍，在这个世界中，软件是由组合而不是编写的。现代应用程序主要由第三方组件和库组成，许多服务由供应商和第三方提供。此供应链中的弱点使组织面临风险，因为攻击者可能同时访问供应链的上游和下游元素。例如，他们可以注入恶意代码或泄露敏感数据。通过最小化第三方可访问的数据和系统的范围，可以降低供应链风险。

• API 安全性应在开发生命周期中尽早解决。

• 由于在许多情况下 API 可以公开访问，因此安全性必须是优先事项。

• API 安全应在软件开发生命周期内实现自动化，以减少人为错误并最大限度地减少开发人员的工作量。

良好的 API 治理是安全 API 组合的关键要素，本周 Security Boulevard就良好 API 治理的核心要素发表了意见。

API 治理是一组设计、开发和部署 API 的原则，通常包括 API 文档的标准化方法、满足特定的安全标准以及对整个 API 环境进行审计。

• 一致性：API 应该易于使用，使用标准化的数据字典和版本控制，并且在端点和参数命名约定上保持一致。

• 可预测性（管理复杂性）：API 应该“永远在线”：关注可靠性、可扩展性和可维护性。

• 安全性和合规性：确保您了解自己的 API 资产、使用安全的开发流程、执行安全测试并管理新出现的威胁。

• 互操作性（价值和业务一致性）：确保您的 API 可互操作以简化采用，从而推动收入回报。

• 质量 API 文档系统：文档完善的 API 是易于使用的 API。

这里的关键要点是，API 可能不可靠、文档记录不完善、互操作性差，如果没有适当的治理流程，会变得不安全。

DevOps.com 就 API 安全性为何对采用全自动 DevOps 开发流程的组织越来越重要提供了他们的想法。尽管 DevOps 流程具有许多积极的业务优势——例如更快的上市时间、提高效率、降低成本和提高质量——但它并非没有挑战，尤其是在安全性方面。

• 快速的开发过程：缩短开发周期意味着安全测试变得具有挑战性，特别是在基于手动过程的情况下，例如渗透测试。更短的周期时间也意味着开发人员可能会引入导致易受攻击的最终产品的编码错误。

• 协作不佳：除非开发和运营团队（以及安全团队）使用统一流程顺利协作，否则在关键主题（例如凭证、令牌和秘密管理）上可能存在差距或缺陷。

• 将安全性紧密集成到 DevOps 流程中并大量利用自动化。

• 在运行时保护 API，以确保缓解任何无意引入的漏洞，直到在后续版本中修复。

• 拥抱 DevOps 带来的文化变革，对开发人员进行交叉培训，使其成为在其 API 中考虑安全问题的安全拥护者。

最后，近期我们听取了流行的安全学习平台 Secure Code Warrior 的联合创始人兼首席执行官 Pieter Danhieux对锁定 API 的三种方法的看法。

Danhieux 指出，API 开发在某种程度上不受监管，并且经常被安全团队忽视，他们可能更熟悉 Web 应用程序安全性。API 也经常为定制功能而设计，并且可能由不完全了解安全注意事项的开发人员编写。

• 包括对所有 API 的严格身份控制：使用配置良好的基于角色的访问控制来最小化 API 访问范围，并确保身份得到积极管理。

• 严格控制 API 进行的各种调用：最小化 API 访问范围，以确保攻击者在发生违规时横向遍历的能力受到限制。

• 使用分层方法：确保 API 具有精确的上下文和目的，并且不会暴露过多的数据。分层组合 API 以将功能限制在必要的最低限度。

感谢 APIsecurity.io 提供相关内容