应用程序编程接口(API)这是公司为客户提 *** 品价值的好 *** 。为更广泛的受众提供数字资产和服务,API已发展成为核心业务的重点,“API经济”都成了商业行话中的固定短语。
API在项目中,参与数字生态系统的安全与数字生态系统的安全策略非常重要。应用程序主管必须有效地设计、执行和监督API包括安全策略API使用网关。随着该领域的发展和行业玩家数量的增加,企业不安全API采纳带来的风险也在增加。
API它是通往数据和应用程序的大门,集安全和保护于一体Web应用同样重要。
为全面保护API,解决架构、DevOps以及生产中的安全需求。软件开发生命周期(SDLC)安全评估的拐点取决于开发团队在遗留应用中的应用API,或者创造新的API优先考虑。虽然大多数评估和缓解的要求都是相同的,但团队仍然需要这样做:
1. 对API动态应用安全测试(DAST),为发现的漏洞创建缓解/修复计划。
2. 为DevOps过程中的API实现代码执行服务组件架构(SCA)和静态分析安全测试(SAST)分析。
3. 安全设计模式用于企业应用架构。一些安全设计模式包括:
- 自动编码模板自动编码模板(XSS)输出编码通过模板使用;
- 采用上下文输入验证,防止输入攻击;
- 使用同步令牌防止使用令牌的跨站请求伪造(XSRF)攻击;
- 采用变量绑定防止映射器使用对象关系(ORM)的SQL注入;
- 使用加密外观来减少密码漏洞
- 在SDLC根据各种扫描的发现,实现强反馈环。
确保这些步骤API在出现问题之前,团队可以找到并修复完整的安全覆盖。
你可能会觉得你已经解决了API管理安全问题的工具,但工具只是实现的API安全步骤。API管理工具提供的安全策略适用于边界,但适用于呈现API业务逻辑安全无效。我们的目标是将应用安全嵌入软件生命周期(DAST、SAST和SCA),作为整体API安全策略的一部分是从内到外编写安全API。
总之,安全评估的结果对冲刺周期中的开发和安全利益相关者至关重要,上述技术可以改进公司API完整性和采纳率。
【本文是51CTO专栏作者“李少鹏”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。