API安全的防御建设
发表于:2024-09-22 作者:千家信息网编辑
千家信息网最后更新 2024年09月22日,应用程序编程接口(API)是公司企业为客户增加其产品价值的好办法。通过将数字资产和服务提供给更广大的受众,API已经发展成了核心业务重点,"API经济"都成了商业行话中的固定词组。API项目中,既管理
千家信息网最后更新 2024年09月22日API安全的防御建设
应用程序编程接口(API)是公司企业为客户增加其产品价值的好办法。通过将数字资产和服务提供给更广大的受众,API已经发展成了核心业务重点,"API经济"都成了商业行话中的固定词组。 |
API项目中,既管理访问又保护系统,同时还参与数字生态系统的安全策略十分重要。应用程序主管必须设计、执行并监管有效API安全策略,包括API网关的使用。而随着该领域的发展和业内玩家数量的增加,企业不安全API的采纳所带来的危险也在增多。事实上,到2022年,API滥用将成导致企业Web应用数据泄露最为常见的攻击方式。
举个例子,2018年10月,Facebook披露遭遇重大数据泄露,影响5000多万个账户。攻击者利用了Facebook开发者API收集受影响用户的资料信息,包括姓名、性别和家乡。连Facebook这种首屈一指的大玩家都没能幸免API安全问题。
API就是通往数据和应用程序的大门,在这里融入安全与保护Web应用同等重要。
为全面保护API,解决架构、DevOps和生产中的安全需求是重点。软件开发生命周期(SDLC)中安全评估的拐点取决于开发团队是在遗留应用中启用API,还是打造新的API优先应用。虽然评估和缓解的要求大部分相同,团队还是需要做到:
1. 对API执行动态应用安全测试(DAST),为发现的漏洞创建缓解/修复计划。2. 为DevOps过程中的API实现代码执行服务组件架构(SCA)和静态分析安全测试(SAST)分析。3. 在企业应用架构中使用安全设计模式。一些安全设计模式样例包括:自动编码模板以防止跨站脚本(XSS)通过模板使用输出编码;采用上下文输入验证以防止输入攻击;运用同步令牌防止利用令牌的跨站请求伪造(XSRF)攻击;采用变量绑定防止利用对象关系映射器(ORM)的SQL注入;使用加密外观以减少密码漏洞在SDLC中实现健壮的反馈环,根据各类扫描的发现做出响应。
这些步骤确保API享有完整的安全覆盖,团队可以在问题出现前找到并修复漏洞。
你可能会觉得自己已经有了解决API安全问题的管理工具,但拥有该工具还只是实现API安全的第一步。API管理工具提供的安全策略适用于边界,但对呈上API的业务逻辑安全毫无作用。我们的目标是在软件生命周期中嵌入应用安全(DAST、SAST和SCA),作为整体API安全策略中的一部分,编写出安全由内而外的API。
总之,安全评估的结果对冲刺周期中的开发及安全利益相关者来说至关重要,而上述技术可以提升公司API的完整性和采纳率。
安全
应用
企业
策略
开发
攻击
重要
周期
团队
工具
应用程序
数据
架构
漏洞
程序
问题
保护
管理
设计
评估
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
付费聊天软件开发
redis淘汰前存储数据库
自然保护区数据库图
java服务器端口修改
重庆有网络安全岗位吗
计算机网络技术专科推荐吗
西安指挥官网络技术有限公司
一个国产数据库一体机
奉贤区挑选网络技术服务价格合理
互联网 科技 背景
网络安全事故 事件
中国普陀区网络安全
松江区服务器设备回收厂家
软件开发和维护过程中遇到
intouch的数据库词典在哪
服务器关机后又重启
网络技术专业学生笔记
北京ca签名服务器价格
服务器资源网
判断nf 数据库 题目
访问数据库很慢
华为鸿蒙系统软件开发
网络安全问题建议
四川系统软件开发商
软件开发业务视频
ef 连接数据库
linux数据库无法启动
国外黑客分布式数据库
什么是车牌识别数据库
软件开发团队工具