應(yīng)用程序編程接口(API)是公司企業(yè)為客戶增加其產(chǎn)品價(jià)值的好辦法。通過(guò)將數(shù)字資產(chǎn)和服務(wù)提供給更廣大的受眾，API已經(jīng)發(fā)展成了核心業(yè)務(wù)重點(diǎn)，“API經(jīng)濟(jì)”都成了商業(yè)行話中的固定詞組。

[[254420]]

API項(xiàng)目中，既管理訪問(wèn)又保護(hù)系統(tǒng)，同時(shí)還參與數(shù)字生態(tài)系統(tǒng)的安全策略十分重要。應(yīng)用程序主管必須設(shè)計(jì)、執(zhí)行并監(jiān)管有效API安全策略，包括API網(wǎng)關(guān)的使用。而隨著該領(lǐng)域的發(fā)展和業(yè)內(nèi)玩家數(shù)量的增加，企業(yè)不安全API的采納所帶來(lái)的危險(xiǎn)也在增多。

API就是通往數(shù)據(jù)和應(yīng)用程序的大門，在這里融入安全與保護(hù)Web應(yīng)用同等重要。

為全面保護(hù)API，解決架構(gòu)、DevOps和生產(chǎn)中的安全需求是重點(diǎn)。軟件開發(fā)生命周期(SDLC)中安全評(píng)估的拐點(diǎn)取決于開發(fā)團(tuán)隊(duì)是在遺留應(yīng)用中啟用API，還是打造新的API優(yōu)先應(yīng)用。雖然評(píng)估和緩解的要求大部分相同，團(tuán)隊(duì)還是需要做到：

1. 對(duì)API執(zhí)行動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)，為發(fā)現(xiàn)的漏洞創(chuàng)建緩解/修復(fù)計(jì)劃。

2. 為DevOps過(guò)程中的API實(shí)現(xiàn)代碼執(zhí)行服務(wù)組件架構(gòu)(SCA)和靜態(tài)分析安全測(cè)試(SAST)分析。

3. 在企業(yè)應(yīng)用架構(gòu)中使用安全設(shè)計(jì)模式。一些安全設(shè)計(jì)模式樣例包括：

• 自動(dòng)編碼模板以防止跨站腳本(XSS)通過(guò)模板使用輸出編碼;
• 采用上下文輸入驗(yàn)證以防止輸入攻擊;
• 運(yùn)用同步令牌防止利用令牌的跨站請(qǐng)求偽造(XSRF)攻擊;
• 采用變量綁定防止利用對(duì)象關(guān)系映射器(ORM)的SQL注入;
• 使用加密外觀以減少密碼漏洞
• 在SDLC中實(shí)現(xiàn)健壯的反饋環(huán)，根據(jù)各類掃描的發(fā)現(xiàn)做出響應(yīng)。

這些步驟確保API享有完整的安全覆蓋，團(tuán)隊(duì)可以在問(wèn)題出現(xiàn)前找到并修復(fù)漏洞。

你可能會(huì)覺得自己已經(jīng)有了解決API安全問(wèn)題的管理工具，但擁有該工具還只是實(shí)現(xiàn)API安全的一步。API管理工具提供的安全策略適用于邊界，但對(duì)呈上API的業(yè)務(wù)邏輯安全毫無(wú)作用。我們的目標(biāo)是在軟件生命周期中嵌入應(yīng)用安全(DAST、SAST和SCA)，作為整體API安全策略中的一部分，編寫出安全由內(nèi)而外的API。

總之，安全評(píng)估的結(jié)果對(duì)沖刺周期中的開發(fā)及安全利益相關(guān)者來(lái)說(shuō)至關(guān)重要，而上述技術(shù)可以提升公司API的完整性和采納率。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文