API安全性现在非常热门

API安全的话题越来越多地出现，这有几个原因。早在2021年7月，Gartner就预测，到2022年，应用程序编程接口(API)攻击将成为最常见的攻击向量，导致企业web应用程序的数据泄露。

分析公司是否正确，现在确定还为时过早，因为OWASP仍在统计结果。

API攻击再次出现在新闻中。事实证明，Optus漏洞的入口点可能是一个低级的REST API。有人泄露了从推特漏洞中窃取的所有数据，这也涉及到一个API。

当谈论API安全性时，往往指的是用来保护API及其传输的数据的措施和实践。这可能会导致未经授权的访问、DDoS的不良反应(多个API崩溃，导致底层系统完全开放且完全不安全)，或者其他恶意攻击。

保护api是一门艺术，要做到这一点，需要轻触和技术和组织技能的微妙结合。

在技术方面，目前正在研究诸如身份验证和授权、加密、自动化测试和监视等措施。在组织方面，需要确切地知道API是为组织结构图中的哪些人设计的，并相应地调整访问。对于外部api，需要知道应该向外部世界提供多少数据，以及需要如何管理和呈现这些数据。

在保护公司的api时，有一个合理的操作顺序。首先就是查找并编目每个API。真正做到这一点并保持其API库存更新的公司数量确实很少。开发人员的便利性、快速的网站开发以及对联邦服务的不断推动，都有助于在没有任何强制性注册结构的情况下突然出现神秘的api。

为了避免这种API蔓延，每一个API都应该集中注册以下信息，如用于构建API的工具和包，它所运行的服务器，依赖于该API的服务，所有有效使用和错误代码的文档，典型的性能指标，预期的正常运行时间或停机时间窗口，所有这些信息都进入一个由网络安全团队运行的存储库。

其次，为每个API设置安全性和性能自动化。这就是要这些信息的原因，也是保证安全的方法。使用开发人员(以及DevOps团队、Web团队等)提供的数据，网络安全或测试团队可以将自动化集成在一起，定期测试API。

功能测试很重要，因为它们确保一切都按预期工作。非功能测试很重要，因为它们探测API的可靠性和安全性。所以请记住，api必须安全地失败。仅仅知道是否失败是不够的，更需要知道失败的后果。

最后，将API添加到正常的威胁防护套件中。如果发现任何用于构建API的工具或包存在bug，需要知道如果在检测到问题时，它所使用的任何协议都被认为是不安全的，那么您需要让团队关闭api，直到可以检查和重新构建它们。

这些事情是很重要的，创建一种编程和安全文化，允许您维护完全编目和记录的api是长期目标。