數字生態系統安全演進:軟體供應鏈中的API安全
在不久前,應用程式程式設計介面 (API) 還是一個抽象概念。隨著組織發展及流程數字化,單個應用程式中的許多複雜的相互依賴關係讓開發人員、業務領導和客戶感到複雜。但當轉向微服務架構時,API的作用迅速提升。API在軟體供應鏈中發揮著關鍵作用,軟體供應鏈也逐漸自動化,並通過持續整合/持續交付 (CI/CD) 模型相互連線。
軟體供應鏈中的任何一環都可能存在被攻擊的風險,API也不例外。2021年的一項調查中,73%的企業表示他們已經發布50多個API,並且這個數字還在不斷增長。API在軟體供應鏈中的角色是如何演變的?
應用程式生命週期
軟體供應鏈是現代應用程式開發生命週期的基本組成部分,可協助整個行業的數字化轉型。一些最早的用例出現在電子商務中,其中的互動仍然受到技術和組織豎井的限制。
隨著開發人員構建轉向雲平臺,在開發過程中越來越多地在軟體供應鏈中連線和整合關鍵的應用程式和服務。API 通過充當供應鏈環境和應用程式之間的數字中介,實現了應用程式、服務和開發團隊的這種融合。API自動化日常流程並支援不斷創新,同時改善終端使用者體驗。
此後,API從提供和分析資料的機制發展到管理業務的整個運營和服務相關方面。隨著對API的逐漸依賴,並且使用日趨成熟,軟體供應鏈發生一些變化,包括:
-
以更統一的方式提供與資料和流程的通訊,取代了自定義資料呼叫。
-
消除了資料和使用者之間的空間,加快處理速度,改善使用者體驗。
與傳統伺服器相比,API提高了文件透明度,從而提高了整體的安全風險評估和更高階別的敏捷性。
軟體供應鏈攻擊
數字化轉型加速,雲技術不斷髮展。隨著我們進入Web的下一次迭代,對API的依賴預計會增長。與此同時,黑客正在利用API作為最新的攻擊媒介。據預測,到2022年,全球45%的組織將在其軟體供應鏈上遭受攻擊,比2021年增長三倍。需要注意的是,API 漏洞修復時間要比修復傳統應用程式安全漏洞更長。
現如今,企業可能擁有數千個API但並不知情,並且當前所使用的API部署方案很可能存在漏洞,或者受到錯誤配置的影響。然而,現有的網路基礎設施包括API閘道器和應用程式防火牆並不能解決“影子API”問題,企業需要採取更加積極主動的方式來保護API。
保護API
作為全面檢測安全的第一步,最重要的是檢查當今對應用程式安全測試最常見的方式:靜態安全測試和動態安全測試。
-
靜態安全測試採用白盒方法,通過審查設計、架構或程式碼,包括資料在通過應用程式時可能採用的許多複雜路徑,基於應用程式的已知功能建立測試。
-
動態安全測試採用黑盒方法,在給定一組特定輸入的情況下,根據應用程式的預期效能建立測試,不需要內部處理或底層程式碼知識。
-
“灰盒”API 安全測試有助於瞭解應用程式的內部工作原理(例如,引數、返回型別),有助於有效地建立專注於業務邏輯的功能測試。
通過多種方式結合使用,可以有效查詢API中存在的安全漏洞和執行時有針對性攻擊的問題。
此外,越來越多的行業意識到需要在API的整個生命週期內保護它們,將API放在安全控制的前沿和中心位置。採取措施進行左移API安全測試將降低成本並加快修復時間。
API 是當今數字生態系統的管道,使資料能夠移入和移出資料中心,無論是私有託管、公共雲還是兩者的混合組合。雖然這意味著新的創新機會,但也意味著網路犯罪分子也可以像客戶一樣,通過API訪問企業內部。
文章來源:綜合整理
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2884657/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 軟體供應鏈安全
- Kubernetes 時代的安全軟體供應鏈
- 解決軟體供應鏈安全問題
- 再談“開源軟體供應鏈安全”
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- 讓企業數字化砸鍋和IT主管背鍋的軟體供應鏈安全風險
- 軟體供應鏈安全如何受到駭客的威脅
- 影響軟體供應鏈安全的10大風險因素
- EHR供應商披露安全問題 警示醫療系統軟體安全風險
- 化工行業數字化供應鏈系統行業
- 什麼是數字化供應鏈系統?企業如何利用數字化供應鏈系統增加銷售渠道?
- NSA 和 CISA分享保護軟體供應鏈安全指南
- sap數字化供應鏈系統解決方案
- 網路安全行政命令:保護軟體供應鏈
- 倒數計時 | 2021 OWASP中國軟體開發與供應鏈安全技術論壇
- 智慧儀器儀表行業數字化供應鏈管理系統完善供應體系,加速企業智慧供應鏈平臺轉型行業
- 化工行業供應鏈管理系統賦能企業打造數字化高效供應鏈行業
- 守護軟體供應鏈安全,DevSecOps頭部廠商「懸鏡安全」完成B輪數億元融資dev
- 重金屬行業智慧供應鏈管理系統發揮乘數效應,提升供應鏈數字化深度行業
- 電商供應鏈管理系統開發|聚合供應鏈API對接商城API
- 軟體供應鏈中斷時代
- 聚合供應鏈電商系統開發軟體流程
- 解決軟體供應鏈安全問題需要關注哪些問題
- 打破企業管理邊界,數字化供應鏈管理系統助力企業建設數字化韌性供應鏈
- 軟體成分安全分析(SCA)能力的建設與演進
- 數商雲:通訊行業智慧供應商管理系統智慧化管理供應商,建立共贏生態供應鏈平臺行業
- 數字化管理供應鏈
- 數字化供應鏈系統搭建,賦能企業實現物流供應鏈的優化升級(數商雲)優化
- HarmonyOS NEXT釋出,純淨安全的全新應用生態體系
- 化學制藥行業SaaS供應鏈管理系統全流程的數字化管控,提升供應鏈一體化效率(數商雲)行業
- 火熱報名中|OSCS 軟體供應鏈安全技術論壇議程搶先看
- 簡析《美國白宮<利用安全的軟體開發實踐增強軟體供應鏈的安全性>備忘錄》
- 貿易公司軟體管理系統可以管理供應鏈麼?
- 軟體供應鏈風險評估:實現安全 SDLC有哪些步驟
- RSA創新沙盒盤點 | Cycode——軟體供應鏈安全完整解決方案
- 智慧供應鏈管理系統打通數字化斷點,保障企業供應鏈網路高效協同斷點
- 火遍全球的小程式技術,軟體供應鏈安全也能幫得上忙?
- 聚合供應鏈管理中臺系統搭建開發(電商供應鏈)