1. 左移安全措施
在软件开发生命周期的早期整合安全实践至关重要。专家们讨论了避免将安全性作为事后考虑的诱惑。应在开发过程的初期就让安全团队参与其中。没有设计在先以及缺乏评估遵守这些设计的流程,终端更容易被黑客利用。
“我们讨论的所有左移安全措施都很重要。安全性必须在过程中更早地开始,这是必不可少的,”Curity的CEO兼网络研讨会的专家小组成员Travis Spencer表示。
作为设计优先的API领导者,Stoplight始终将安全性放在首位,这也是我们的安全专家们最关注的问题。采用设计优先的方式,在设计阶段实施安全思维,可以帮助加固您的API。教育开发人员关于API安全的最佳实践,并让他们参与预防漏洞的过程中,从而在漏洞被利用之前就予以防范。
专家们还倡导了左移安全性的两个关键方面:
使用设计时工具定义API合同,并根据安全要求进行验证。这确保了安全性从一开始就被内置到API设计中。此外,威胁建模对于理解API开发的风险和影响至关重要,并且应将其整合到API设计过程中。欲了解更多关于安全趋势和左移安全的内容,请查看我们最近的其他网络研讨会。
2. 实施更全面的API安全测试和验证
测试很重要;考虑使用自动化测试工具或专门针对API的测试技术,尽早识别漏洞和安全问题。专家们讨论的一个关键主题是不要信任通过API传递的任何数据,并将所有API视为潜在的风险。他们强调了验证和验证每个调用者的重要性,无论是人类还是机器,都应使用令牌和可信密钥。
“你的系统可能会受到数百万种攻击方式的威胁,你需要确保涵盖所有这些攻击方式。安全是每个人的问题,不仅仅是流程结束时的安全人员的责任,”42 Crunch的CTO兼联合创始人Isabelle Mauny分享道。
还值得注意的是,公开的API尤其会构成威胁,因为它们在定义上暴露在互联网上。如果您的API暴露在外,那么它应被视为公开的,并应采取相应的安全措施。
3. 将安全视为一个持续的过程
将安全性作为开发过程的连续部分进行整合。定期审查和验证API的安全漏洞,并确保在每次发布时进行安全测试。注意,身份验证和授权失效是导致API泄露的最常见问题,因此尤其要关注这些方面,以确保API的安全性。
4. 推动开发团队安全思维的文化变革
培养安全文化对于成功的API开发至关重要,这需要思维方式的转变和全组织的认同。鼓励您的开发人员和API团队将安全性视为一种协作努力,而不是阻碍。鼓励安全团队与开发团队之间的合作,以促进更好的安全实践,并确保安全人员始终参与其中。
请记住,安全是一种实践,而不是一种状态。虽然要拥抱将安全性视为产品特性的价值观,但也要明白,仅仅是思维方式的转变还不够。
我们的专家强调了安全团队与应用开发人员之间合作的重要性,因为理解API并让开发人员参与安全计划对于识别和修复漏洞、逻辑缺陷和授权问题至关重要。
5. 指定安全冠军并嵌入安全专家
任命嵌入开发团队的安全冠军,以促进安全意识、知识共享并鼓励最佳安全实践。这些人不必属于安全团队,但他们应该在API开发的各个阶段都将安全性放在首位。
如果您不确定应指定谁为“安全冠军”,可以考虑API产品经理。这个角色通常在弥合安全与开发团队之间的差距方面发挥关键作用,并应负责管理API并确保满足安全要求。这个角色还可以帮助您将API视为产品,从而在后期减少安全问题的发生。
6. 良好的治理必不可少
建立强大的API治理,定义API开发、管理和安全的标准、政策和程序。在整个API设计生命周期中贯彻治理最佳实践,有助于保持一致性,并确保API遵循安全最佳实践,因为它们是标准化的。
一个良好的治理计划包括在某种程度上整合风格指南,以标准化API的创建并保持其一致性。它还意味着要有良好的API发现性和可见性,从而更好地了解可能存在的安全风险。
“拥有所有API的清单,了解它们的功能、行为、访问权限以及在何种条件下可以访问它们,这非常关键。但问题是,您需要有那层安全保障。但如果您不知道自己拥有什么,并且无法根据需要进行部署,那么这将无法实现,”APIsec大学创始人兼网络研讨会专家小组成员Dan Barahona表示。
7. 这是一个持续学习的机会
在安全措施方面总有更多可以做的,但可以从小处入手,从初步的安全实施中学习。我们的专家们与从初创公司到财富500强公司都有合作经验,但最重要的是要意识到,在每个阶段都可以做一些小改进来提升安全实践。并且一如既往地,基于客户反馈、经验以及在安全集成过程中获得的教训,持续改进安全实践。
通过遵循这些最佳实践,安全专家可以帮助确保API安全成为开发过程中的一个不可或缺的部分,并且API能够构建出具备强大安全措施的系统,以防止潜在威胁和漏洞。最终,通过提供改进开发人员体验的工具和流程,使安全成为开发人员的净收益,从而总体上为更安全的API生态系统做出贡献。
除了这里讨论的最佳实践,专家们还建议考虑OAuth框架和FAPI(金融级API)标准,这可能为进一步的探索提供机会。
文章来源:Top 7 API Security Best Practices: Global Experts Weigh In
Keyword: 通义千问api