數字生態系統安全演進：軟體供應鏈中的API安全

在不久前，應用程式程式設計介面 (API) 還是一個抽象概念。隨著組織發展及流程數字化，單個應用程式中的許多複雜的相互依賴關係讓開發人員、業務領導和客戶感到複雜。但當轉向微服務架構時，API的作用迅速提升。API在軟體供應鏈中發揮著關鍵作用，軟體供應鏈也逐漸自動化，並透過持續整合/持續交付 (CI/CD) 模型相互連線。

軟體供應鏈中的任何一環都可能存在被攻擊的風險，API也不例外。2021年的一項調查中，73%的企業表示他們已經發布50多個API，並且這個數字還在不斷增長。API在軟體供應鏈中的角色是如何演變的?

應用程式生命週期

軟體供應鏈是現代應用程式開發生命週期的基本組成部分，可協助整個行業的數字化轉型。一些最早的用例出現在電子商務中，其中的互動仍然受到技術和組織豎井的限制。

隨著開發人員構建轉向雲平臺，在開發過程中越來越多地在軟體供應鏈中連線和整合關鍵的應用程式和服務。API 透過充當供應鏈環境和應用程式之間的數字中介，實現了應用程式、服務和開發團隊的這種融合。API自動化日常流程並支援不斷創新，同時改善終端使用者體驗。

此後，API從提供和分析資料的機制發展到管理業務的整個運營和服務相關方面。隨著對API的逐漸依賴，並且使用日趨成熟，軟體供應鏈發生一些變化，包括:

• 以更統一的方式提供與資料和流程的通訊，取代了自定義資料呼叫。

• 消除了資料和使用者之間的空間，加快處理速度，改善使用者體驗。

與傳統伺服器相比，API提高了文件透明度，從而提高了整體的安全風險評估和更高階別的敏捷性。

軟體供應鏈攻擊

數字化轉型加速，雲技術不斷髮展。隨著我們進入Web的下一次迭代，對API的依賴預計會增長。與此同時，駭客正在利用API作為最新的攻擊媒介。據預測，到2022年，全球45%的組織將在其軟體供應鏈上遭受攻擊，比2021年增長三倍。需要注意的是，API 漏洞修復時間要比修復傳統應用程式安全漏洞更長。

現如今，企業可能擁有數千個API但並不知情，並且當前所使用的API部署方案很可能存在漏洞，或者受到錯誤配置的影響。然而，現有的網路基礎設施包括API閘道器和應用程式防火牆並不能解決“影子API”問題，企業需要採取更加積極主動的方式來保護API。

保護API

作為全面檢測安全的第一步，最重要的是檢查當今對應用程式安全測試最常見的方式：靜態安全測試和動態安全測試。

• 靜態安全測試採用白盒方法，透過審查設計、架構或程式碼，包括資料在透過應用程式時可能採用的許多複雜路徑，基於應用程式的已知功能建立測試。

• 動態安全測試採用黑盒方法，在給定一組特定輸入的情況下，根據應用程式的預期效能建立測試，不需要內部處理或底層程式碼知識。

• “灰盒”API 安全測試有助於瞭解應用程式的內部工作原理(例如，引數、返回型別)，有助於有效地建立專注於業務邏輯的功能測試。

透過多種方式結合使用，可以有效查詢API中存在的安全漏洞和執行時有針對性攻擊的問題。

此外，越來越多的行業意識到需要在API的整個生命週期內保護它們，將API放在安全控制的前沿和中心位置。採取措施進行左移API安全測試將降低成本並加快修復時間。

API 是當今數字生態系統的管道，使資料能夠移入和移出資料中心，無論是私有託管、公共雲還是兩者的混合組合。雖然這意味著新的創新機會，但也意味著網路犯罪分子也可以像客戶一樣，透過API訪問企業內部。

文章來源：綜合整理