应用程序编程接口(API)是公司为客户增加产品价值的好方法。通过向更广泛的受众提供数字资产和服务,API已发展成为核心业务焦点,“API经济”已成为商业术语中的固定内容。在API项目中,重要的是管理访问和保护系统,同时参与数字生态系统的安全策略。应用程序经理必须设计、实施和监控有效的API安全策略,包括API网关的使用。随着该领域的发展和行业参与者数量的增加,企业采用不安全API所带来的危险也在增加。API是通往数据和应用程序的门户,在这里整合安全性与保护Web应用程序一样重要。为了全面保护API,解决架构、DevOps和生产方面的安全需求是重点。软件开发生命周期(SDLC)中安全评估的转折点取决于开发团队是在遗留应用程序中启用API还是构建新的API优先应用程序。虽然评估和缓解的要求基本相同,但团队需要:1.对API执行动态应用程序安全测试(DAST)并为发现的漏洞创建缓解/补救计划。2.对DevOps过程中的API进行代码执行服务组件架构(SCA)和静态分析安全测试(SAST)分析。3.在企业应用架构中使用安全设计模式。安全设计模式的一些示例包括:自动编码模板以通过模板使用输出编码来防止跨站点脚本(XSS);采用上下文输入验证来防止输入攻击;使用同步令牌防止使用令牌的跨站请求伪造(XSRF)攻击;使用变量绑定来防止使用对象关系映射器(ORM)的SQL注入;使用加密外观来减少密码漏洞在SDLC中实施强大的反馈循环,以响应各种扫描的结果。这些步骤确保API享有完整的安全覆盖,并且团队可以在问题出现之前找到并修复漏洞。您可能觉得自己已经拥有解决API安全问题的管理工具,但拥有该工具只是迈向API安全的第一步。API管理工具提供的安全策略适用于边界,但对呈现给API的业务逻辑的安全没有影响。我们的目标是将应用程序安全性(DAST、SAST和SCA)作为整体API安全策略的一部分嵌入到软件生命周期中,编写由内而外安全的API。总之,安全评估的结果对于冲刺周期中的开发和安全利益相关者至关重要,上述技术可以提高公司API的完整性和采用率。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
