API安全技术应用指南（2024.pdf

上传者：玛***
时间：2024/12/10
热度：501
0人点赞
举报

API 是软件集成、系统集成、远程服务访问的基础。随着模块化、面向对象及微服务开发的进一步应用， API 从系统内部连接逐渐扩展到系统外部，并在整个互联网范围内连接起相互独立的各个业务节点，人与服务、服务与服务、系统与服务之间的信息交换都在 API 的基础上进行着。随着 SaaS 化和云服务的兴起，基于 API 的软件集成已成为构建现代应用程序的关键方法。开发者基于 API 构建应用、开放能力、共享服务，形成了以 API 提供者、消费者为主的 API 生态经济。然而，API 自身的安全性，如不安全的协议框架、开发缺陷和漏洞，不仅给应用程序和 Web 应用带来严重的安全隐患，还因为大量 API 的外部暴露，极大地增加了业务系统和数据的攻击面，为不法分子提供了可乘之机。在日趋严峻的网络安全形势下，赏金猎人和针对 API 的自动化攻击工具使 API 自身的缺陷更容易被发现和利用。这些漏洞可能导致非法访问、数据泄露、SQL 注入和跨站脚本攻击等一系列安全风险，给企业造成系统破坏、业务中断和经济损失。 API 作为应用软件的重要组成部分，也是软件安全、业务安全和数据安全的底层基石，是国家网络安全和数字经济发展的重要前提。为保障国家数字经济的长效建设，行业监管部门在贯彻网络安全的基础上进一步着手 API 安全治理，陆续出台应用程序接口安全相关的细则，包括《应用程序接口规范》《云应用安全技术标准》《数据安全技术数据接口安全风险监测方法》等等。这些规范分别从评估、审计、漏洞检查、隐私敏感权限等维度提出了具体要求。为在网络安全建设中帮助用户更好地开展安全规划、API 安全建设，并给用户提供有效的 API 安全框架、产品方案、厂商支持，安全牛即日起正式启动《API 安全技术应用指南（2024 版）》报告（以下简称“报告”）研究工作。报告基于调研对 API 的安全风险进行识别，从 API 安全测试、风险可见性、API 风险防护等多方面对 API 的安全能力建设提出建议；同时，基于调研也对厂商的 API 安全产品或解决方案进行能力评估，并对该领域的年度代表性厂商进行能力评估、方案推荐和落地应用案例展示。为用户选择合适的产品和厂商提供有效参考。