API 安全中的“左移”測試

在 API 預生產中捕獲編碼錯誤，在它們啟動並上線之前，對於防止可利用的漏洞至關重要。這就是為什麼“左移”成為 API 開發中的一個重要焦點。DevOps 負責將安全測試納入軟體開發生命週期 (SDLC)，從而降低修復編碼錯誤和漏洞的時間成本和費用。

對於開發人員來說，修復程式碼或瞭解漏洞利用的機率是非常耗費時間和精力的，對於安全測試團隊來說程式碼安全很有必要，因此自動化安全測試工具可以很好的解決這類問題。

自動化 API 安全測試主要使用兩種應用程式安全方法中的工具：靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)。

SAST用於透過分析原始碼來檢測漏洞，正因為如此，SAST往往在開發過程的早期使用，可以直接整合到API開發環境中，如 IDE、錯誤跟蹤系統和持續整合 (CI)/持續開發 (CD) 工具。當標準規範能夠檢測 API 中的常見實現問題(如錯誤公開的 API、引數、錯誤程式碼和訊息)時，SAST 的效果很好。

相比之下，DAST是一種漏洞掃描工具，用於探測生產或非生產環境中正在執行的應用程式，但無法訪問原始碼。API的DAST的基本需求之一是工具需要理解API，其中包括它所公開的語法和業務邏輯。DAST從使用者/攻擊者的角度發現問題，並傾向於在開發過程的後期階段使用。

“左移”測試可以幫助發現和修復存在的安全漏洞和風險，提高API的安全性。透過對API進行測試，可以降低惡意攻擊的風險，保護使用者資料和系統的安全。此外，建立安全測試流程和頻繁進行安全測試，可以幫助發現新的安全威脅，並及時做出相應的改進和修復措施，提高應對安全威脅的能力。