數(shù)字生態(tài)系統(tǒng)安全演進(jìn)：軟件供應(yīng)鏈中的API安全

在不久前，應(yīng)用程序編程接口 (API) 還是一個(gè)抽象概念。隨著組織發(fā)展及流程數(shù)字化，單個(gè)應(yīng)用程序中的許多復(fù)雜的相互依賴關(guān)系讓開發(fā)人員、業(yè)務(wù)領(lǐng)導(dǎo)和客戶感到復(fù)雜。但當(dāng)轉(zhuǎn)向微服務(wù)架構(gòu)時(shí)，API的作用迅速提升。API在軟件供應(yīng)鏈中發(fā)揮著關(guān)鍵作用，軟件供應(yīng)鏈也逐漸自動(dòng)化，并通過持續(xù)集成/持續(xù)交付 (CI/CD) 模型相互連接。

軟件供應(yīng)鏈中的任何一環(huán)都可能存在被攻擊的風(fēng)險(xiǎn)，API也不例外。2021年的一項(xiàng)調(diào)查中，73%的企業(yè)表示他們已經(jīng)發(fā)布50多個(gè)API，并且這個(gè)數(shù)字還在不斷增長。API在軟件供應(yīng)鏈中的角色是如何演變的?

應(yīng)用程序生命周期

軟件供應(yīng)鏈?zhǔn)乾F(xiàn)代應(yīng)用程序開發(fā)生命周期的基本組成部分，可協(xié)助整個(gè)行業(yè)的數(shù)字化轉(zhuǎn)型。一些最早的用例出現(xiàn)在電子商務(wù)中，其中的交互仍然受到技術(shù)和組織豎井的限制。

隨著開發(fā)人員構(gòu)建轉(zhuǎn)向云平臺(tái)，在開發(fā)過程中越來越多地在軟件供應(yīng)鏈中連接和集成關(guān)鍵的應(yīng)用程序和服務(wù)。API 通過充當(dāng)供應(yīng)鏈環(huán)境和應(yīng)用程序之間的數(shù)字中介，實(shí)現(xiàn)了應(yīng)用程序、服務(wù)和開發(fā)團(tuán)隊(duì)的這種融合。API自動(dòng)化日常流程并支持不斷創(chuàng)新，同時(shí)改善最終用戶體驗(yàn)。

此后，API從提供和分析數(shù)據(jù)的機(jī)制發(fā)展到管理業(yè)務(wù)的整個(gè)運(yùn)營和服務(wù)相關(guān)方面。隨著對(duì)API的逐漸依賴，并且使用日趨成熟，軟件供應(yīng)鏈發(fā)生一些變化，包括:

• 以更統(tǒng)一的方式提供與數(shù)據(jù)和流程的通信，取代了自定義數(shù)據(jù)調(diào)用。
• 消除了數(shù)據(jù)和用戶之間的空間，加快處理速度，改善用戶體驗(yàn)。

與傳統(tǒng)服務(wù)器相比，API提高了文檔透明度，從而提高了整體的安全風(fēng)險(xiǎn)評(píng)估和更高級(jí)別的敏捷性。

軟件供應(yīng)鏈攻擊

數(shù)字化轉(zhuǎn)型加速，云技術(shù)不斷發(fā)展。隨著我們進(jìn)入Web的下一次迭代，對(duì)API的依賴預(yù)計(jì)會(huì)增長。與此同時(shí)，黑客正在利用API作為最新的攻擊媒介。據(jù)預(yù)測(cè)，到2022年，全球45%的組織將在其軟件供應(yīng)鏈上遭受攻擊，比2021年增長三倍。需要注意的是，API 漏洞修復(fù)時(shí)間要比修復(fù)傳統(tǒng)應(yīng)用程序安全漏洞更長。

現(xiàn)如今，企業(yè)可能擁有數(shù)千個(gè)API但并不知情，并且當(dāng)前所使用的API部署方案很可能存在漏洞，或者受到錯(cuò)誤配置的影響。然而，現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括API網(wǎng)關(guān)和應(yīng)用程序防火墻并不能解決“影子API”問題，企業(yè)需要采取更加積極主動(dòng)的方式來保護(hù)API。

保護(hù)API

作為全面檢測(cè)安全的第一步，最重要的是檢查當(dāng)今對(duì)應(yīng)用程序安全測(cè)試最常見的方式：靜態(tài)安全測(cè)試和動(dòng)態(tài)安全測(cè)試。

• 靜態(tài)安全測(cè)試采用白盒方法，通過審查設(shè)計(jì)、架構(gòu)或代碼，包括數(shù)據(jù)在通過應(yīng)用程序時(shí)可能采用的許多復(fù)雜路徑，基于應(yīng)用程序的已知功能創(chuàng)建測(cè)試。
• 動(dòng)態(tài)安全測(cè)試采用黑盒方法，在給定一組特定輸入的情況下，根據(jù)應(yīng)用程序的預(yù)期性能創(chuàng)建測(cè)試，不需要內(nèi)部處理或底層代碼知識(shí)。
• “灰盒”API 安全測(cè)試有助于了解應(yīng)用程序的內(nèi)部工作原理(例如，參數(shù)、返回類型)，有助于有效地創(chuàng)建專注于業(yè)務(wù)邏輯的功能測(cè)試。

通過多種方式結(jié)合使用，可以有效查找API中存在的安全漏洞和運(yùn)行時(shí)有針對(duì)性攻擊的問題。

此外，越來越多的行業(yè)意識(shí)到需要在API的整個(gè)生命周期內(nèi)保護(hù)它們，將API放在安全控制的前沿和中心位置。采取措施進(jìn)行左移API安全測(cè)試將降低成本并加快修復(fù)時(shí)間。

API 是當(dāng)今數(shù)字生態(tài)系統(tǒng)的管道，使數(shù)據(jù)能夠移入和移出數(shù)據(jù)中心，無論是私有托管、公共云還是兩者的混合組合。雖然這意味著新的創(chuàng)新機(jī)會(huì)，但也意味著網(wǎng)絡(luò)犯罪分子也可以像客戶一樣，通過API訪問企業(yè)內(nèi)部。

文章來源：綜合整理