江苏龙网

  1. 主页 > 生活百科 > >

确保第三方API安全的五个优秀实践

API

第三方API是软件接口,能够使企业在自己的网站或应用程序上利用第三方功能或数据 。技术研究和咨询机构ISG公司的网络安全主管Phil Quitugua表示,这些第三方API使开发人员能够将他们的应用程序或系统与外部服务、数据或功能集成在一起 。【确保第三方API安全的五个优秀实践】

确保第三方API安全的五个优秀实践

文章插图
当企业考虑API安全性时,他们通常关注于保护内部编写的API 。然而,并非企业使用的所有API都是内部开发的,有些是由其他企业设计和开发的 。问题是,许多企业没有意识到使用第三方API可能会使他们的应用程序产生安全问题,例如恶意软件、数据泄露和未经授权的访问 。
第三方API是软件接口,能够使企业在自己的网站或应用程序上利用第三方功能或数据 。技术研究和咨询机构ISG公司的网络安全主管Phil Quitugua表示,这些第三方API使开发人员能够将他们的应用程序或系统与外部服务、数据或功能集成在一起 。
一些市场流行的第三方API包括导航应用程序、社交媒体平台和数字支付处理工具 。DataDome公司的产品副总裁Paul Scanlon表示:“这些API是谷歌公司或Facebook公司等第三方提供的,让用户可以在自己的网站或应用程序上访问他们的数据或功能 。每个人都喜欢采用API 。通过使各种设备和应用程序能够通过各种通信协议交换信息,API可以帮助开发人员更轻松、更有效地创造出色的用户体验 。”
虽然API得以普及应用,但存在着安全的致命弱点——根据Saltsecurity公司发布的《2023年第一季度API安全状况》报告,在过去的一年中,大约94%的企业在生产API中遇到了安全问题,17%的企业遭遇了API相关的漏洞 。因此,需要确保第三方API安全性 。
为什么确保第三方应用程序的安全如此重要NCC集团工业和运营技术业务总监Jim McKenney表示,第三方API需要强大的安全性,因为它们可能是弱点 。如果它们不安全,可能会泄露敏感数据或导致原始软件出现问题 。
McKenney说,“API安全保护程序之间的通信(例如OpenStreetMap的API)免受网络威胁 。它可以抵御恶意攻击、未经授权的访问以及API滥用等新出现的威胁 。API安全确保了应用程序之间安全可靠的对话 。”
Capgemini公司旗下的Sogeti公司负责洞察和数据的副总裁Doug Ross表示,第三方API安全涉及实施认证、授权、加密和监控等措施,以确保API及其数据的隐私、完整性和可用性 。Ross说,“API安全性是软件开发的一个关键方面,因为API经常充当不同系统之间的桥梁,并且越来越多地用于交换敏感和关键信息 。”
出于许多原因,确保第三方API的安全性至关重要 。一方面,API可以访问敏感信息,例如用户数据或支付信息 。因此,如果第三方API遭到破坏,则可能导致数据泄露,从而影响最终用户和依赖API的业务 。此外,不安全的API可能会使应用程序或系统暴露于漏洞和攻击之下,从而可能导致系统故障或对资源的不适当访问 。
第三方API的安全性在维护合规性方面也很重要,因为许多行业都有严格的数据保护和隐私法规,例如欧盟的《通用数据保护条例》(GDPR)和美国的《健康保险流通与责任法案》 。Ross表示,确保第三方API的安全性有助于企业遵守这些法规并避免监管机构的处罚 。涉及第三方API的安全漏洞可能会损害企业的声誉,导致客户信任的丧失,并可能影响商业伙伴关系 。
以下是确保第三方API安全性的五个最佳实践:
(1)维护包含第三方API的API清单Bionic公司的安全研究员Jacob Garrison表示,维护API清单,使其在代码变化时自动更新,这是API安全程序的重要第一步 。它应该区分第一方和第三方API 。它还鼓励在不通知安全团队的情况下持续监控影子IT API 。
Garrison说:“为了确保企业的库存稳健且可操作,应该跟踪哪些API传输关键业务信息,例如个人身份信息和支付卡数据 。”他表示,API清单是对第三方风险管理的补充 。当开发人员使用第三方API时,考虑供应商本身的风险评估是值得的 。
他说,“例如,假设企业的数据工程团队想要发送个人身份数据到Tableau进行分析,在这种情况下,有必要评估该供应商的安全状况是否在企业的风险承受范围内 。”
Invicti Security公司首席技术和安全研究主管Frank Catucci也认为,包括第三方API的清单是至关重要的 。
他说:“企业需要让第三方API成为其整体API库的一部分,必须把它们视为自己拥有和负责的资产 。所以,确保准确地了解哪些API在哪里运行以及它们在做什么是重要的第一步,因为人们无法保护自己看不到的物品 。”


推荐阅读


上一篇:如何减少数据中心网络拥塞

下一篇:微服务注册中心如何选型?这几个维度告诉你!