現代系統依賴(lài)于通過(guò)各種網(wǎng)絡(luò )公開(kāi)的API的復雜系統。什么是API安全，它如何融入到整體的安全計劃？

　　所有應用程序都使用API （比如，對內核的調用、軟件開(kāi)發(fā)工具包、密碼庫和SOAP協(xié)議）。如今，供應商提到的“ API安全”是指這些API的子集 -- 通過(guò)網(wǎng)絡(luò )公開(kāi)的那些API。

　　就本質(zhì)而言，這些網(wǎng)絡(luò )公開(kāi)的API使信息能夠自由傳遞以及在軟件組件之間進(jìn)行交互。攻擊者有機會(huì )可以通過(guò)公共網(wǎng)絡(luò )、云和專(zhuān)用網(wǎng)絡(luò )的暴露端點(diǎn)來(lái)破壞系統的組件。一些知名公司（包括USPS、T-Mobile和Salesforce等）的重大違規事件是源于暴露或使用不安全的API端點(diǎn)。那么問(wèn)題來(lái)了，要如何了解軟件安全計劃是否滿(mǎn)足企業(yè)所需的安全控制的要求，以確保使用和創(chuàng )建的API是安全的？首先，你需要定義什么是“API安全”。

　　API安全是對企業(yè)創(chuàng )建和使用的（暴露在網(wǎng)絡(luò )中）API的保護。當然，這意味著(zhù)需要使用與API緊密相關(guān)的通用安全控制：速率限制以及用戶(hù)、服務(wù)和請求的身份驗證和授權。這還意味著(zhù)了解數據來(lái)源，以及在查看組成的系統時(shí)，在設計或查看討論時(shí)準確地尋找到上下文的位置。對于軟件安全領(lǐng)頭企業(yè)來(lái)說(shuō)，這意味著(zhù)應用程序安全計劃可以在適當的時(shí)間捕獲活動(dòng)并將其應用于暴露或使用API的軟件。強大的API安全性不只是購買(mǎi)一些新工具，還源于一種安全文化，它涉及整個(gè)軟件安全計劃中的活動(dòng)。

　　諸如微服務(wù)架構等的流行軟件開(kāi)發(fā)趨勢已將與軟件安全計劃（SSI）相關(guān)的軟件單元從“應用程序”（或整體式）擴展至API的許多子組件。這些子組件具有自己的生命周期和合同，并必須遵守安全控制措施。軟件安全企業(yè)可以從以下方面提升安全性：

　　API是被用在前端客戶(hù)端（胖客戶(hù)端或瀏覽器）和后端系統之間，以及后端組件之間。進(jìn)一步考慮，單個(gè)API端點(diǎn)可能最終會(huì )同時(shí)處理前端和后端請求。當各個(gè)API端點(diǎn)暴露于各種已知和未知的調用方（網(wǎng)關(guān)或負載平衡器的上游消耗、組成或包裝）時(shí)，很難確定單個(gè)API端點(diǎn)必須執行哪些安全控制。應用程序安全主管可以做出的一個(gè)決定是，推動(dòng)使用API，以明確記錄提供商和使用者應承擔的安全責任。

　　架構師還面臨識別API跨領(lǐng)域問(wèn)題的麻煩。安全領(lǐng)導者應該注意一些安全活動(dòng)，例如統一訪(fǎng)問(wèn)控制，以及那些與業(yè)務(wù)邏輯接近的活動(dòng)，例如統一客戶(hù)身份認證。

　　關(guān)于安全控制，API安全中有多個(gè)抽象級別：業(yè)務(wù)邏輯中的控制（防止濫用）；保護業(yè)務(wù)邏輯的控制（身份驗證和授權）；以及最終由架構啟用或定義的架構安全控制（API網(wǎng)關(guān)和微細分）。

　　由架構決策支持的安全控制，對于在A(yíng)PI安全的環(huán)境中的應用程序開(kāi)發(fā)而言相對較新。除了應用于業(yè)務(wù)邏輯的安全控制之外，還擴展到諸如速度檢查、身份驗證和授權決策等。我們需要知道如何最好地隔離一組API，并在那里通過(guò)網(wǎng)關(guān)啟用重要的安全控制。例如，微分段是否能達到要求？服務(wù)網(wǎng)格提供的安全控制效果如何？

　　一些架構決策試圖提供阻塞點(diǎn)，以便安全架構師更深入地了解這些分布式系統。雖然某些架構決策需要集中管理的方法，但有的則啟用端點(diǎn)強制的方法。

　　當然，我們建議進(jìn)行威脅建模。應用安全企業(yè)必須開(kāi)始識別各種類(lèi)型的API（第一方、第三方、客戶(hù)或使用者）的風(fēng)險、每個(gè)API端點(diǎn)的關(guān)鍵控制、針對采用很多API的架構（如微服務(wù)）造成的問(wèn)題提供可接受的解決方案，以及是否將賣(mài)方索賠作為風(fēng)險管理計劃的一部分。

　　應用安全企業(yè)需要了解他們的API足跡；衡量使用流程和工具來(lái)覆蓋該足跡的工作；跟蹤、記錄正在進(jìn)行的安全活動(dòng)并確定優(yōu)先級；并為各種類(lèi)型的安全分析提供了豐富的上下文。當與程序所有者討論API安全時(shí)，我們經(jīng)常會(huì )發(fā)現現有的清單解決方案無(wú)法提供這些內容。安全計劃負責人應該仔細研究是否可以采用現有的物料清單解決方案，或者是否必須采用新的解決方案。

　　如今的安全測試與以往一樣，對于深入了解上游軟件安全實(shí)踐的有效性都很重要。API安全測試對手動(dòng)、自動(dòng)或者混合測試都提出了新挑戰。其中上下文關(guān)聯(lián)是一種。如果測試人員沒(méi)有輸入或感知威脅模型的能力，則無(wú)法找到對SSI不利的高風(fēng)險問(wèn)題，得不到及時(shí)修復。

　　靜態(tài)分析工具可以有效地識別特定于語(yǔ)言的軟件安全問(wèn)題，或可以很好理解的注入攻擊，對于那些使用大量API的代碼庫仍然有效，但是前提是這些工具必須對用于公開(kāi)這些API路由的庫和平臺進(jìn)行建模。有的企業(yè)已經(jīng)采用靜態(tài)分析推動(dòng)安全控制（例如，使用身份驗證和授權庫），并可用于A(yíng)PI安全。

　　動(dòng)態(tài)分析可以生成API覆蓋范圍，其典型方法包括對客戶(hù)端（或工具）、行為以及使用規范進(jìn)行測試。該解決方案不是構建一個(gè)工具，并強迫開(kāi)發(fā)團隊使用一種測試工具，而是去支持各種可能的測試。

　　現代應用程序和系統依賴(lài)于通過(guò)各種公共和專(zhuān)用網(wǎng)絡(luò )公開(kāi)的API的復雜系統。我們可以采取一些步驟來(lái)了解這些更改如何影響我們的軟件安全計劃的各個(gè)要素，并確保在正確的時(shí)間和地方，將安全性?xún)戎玫奖┞对诨蚴褂肁PI 的軟件中。