在企业数字化转型如火如荼的今天，API 之间的相互调用成为应用开发的基础，API 如“血液”般承载了现代 IT 应用架构中绝大多数的应用数据交换，与此同时，API 也正成为攻击者的重点攻击对象。纵观全球，API 遭受攻击的事件屡见不鲜，在凸显该威胁严重性的同时，也为企业单位再次敲响警钟。

日益严峻的安全威胁使 API 正在成为网络安全的下一个前沿阵地，企业的 API 安全能力成为了业务安全性能的重要决定因素。

API安全设计与开发存在的风险点

信通院《应用程序接口（API）数据安全研究报告》（2020 年）指出，API 技术被应用于各种复杂环境，其背后的数据既为企业带来商机与便利，又为数据安全保障工作带来巨大压力。API 类型和数量随着业务发展而扩张，而其尚未形成体系化的安全管理机制，在设计初期未进行整体规划、缺乏统一规范，导致安全事件频发。

结合 API 在安全设计与开发阶段的现状，梆梆安全专家梳理出以下三大类 API 安全风险点：

1. 开发人员的安全开发经验不足，对 API 安全的攻防对抗知识了解较少，同时因为开发周期紧张，无法进行有效的安全设计，导致软件在设计之初就存在安全缺陷；

2. 开发过程中的管理制度不健全，导致软件引入第三方不可控的风险代码，出厂时就携带病毒、木马或后门等恶意样本；

3. 编码不规范、业务逻辑缺陷等安全问题层出不穷，给业务的系统性安全带来极大威胁。

API 作为不同应用程序之间的一种契约，将应用程序进行组装，从而满足业务逻辑日益复杂的需求，所以 API 的安全设计与开发显得尤为重要。设计与开发的合理规范化提高，不仅能降低应用程序集成成本、提升软件系统开发效能，还能增加 API 的可读性，有助于 API 的管理和维护。

API安全设计与开发的难点分析

Salt Security 发布的《2021 State Of API Security Report》中指出，36% 的受访者表示开发人员或 DevOps 团队对保护 API 负有主要责任。软件发布前的工作包括安全编码规范、代码扫描和手动测试等内容。

报告显示 91% 的受访者在过去一年经历了 API 安全事件，由此证明 DevOps 安全目前的重视程度还远远不够。

 API 安全是当今时代数据安全保护的重要一环，在安全设计与开发过程中的难点主要体现以下三方面：

1.开发人员不是攻击者，更擅长功能开发。开发人员在确保应用程序正常运行并执行其设计的任务时，攻击者却可以找到巧妙的方法将应用程序变成武器。

2.代码扫描器和渗透测试等工具具有局限性。由于成本和复杂性，企业在软件应用前的渗透测试次数有限，另外许多扫描工具都依赖已知规则和行为识别潜在漏洞，很难覆盖到全部风险。

3. 开发人员对 API 整体安全性的关注度不高。在数字化浪潮下，代码迭代越来越快，API 承载的业务逻辑越来越复杂，对 API 整体安全性的代码审计工作很难快速跟上。

由此可见，在软件开发生命周期的早期阶段就讨论 API 安全问题，可以避免 API遭攻击造成的巨大财务和品牌损失。

API安全设计与开发建议

API 一直以来都扮演着连接用户前台与后台服务的关键桥梁作用，企业应当提起更高重视，制定安全开发管理规范与安全编码规范，并将安全编码规范的需求转化到技术开发的全生命周期，构建起一套切实有效的 API 安全管控体系。01

制定API的安全规范制度

建议企业建立健全的 API 设计、开发、测试等环节标准规范和管理制度，引导 API 开发运维流程标准化，提高对 API 安全的重视程度，将相关要求以制度规程的形式进行沉淀、落实，避免遗留严重安全漏洞、恶性 Bug 等脆弱性因素，威胁接口安全。

02

在设计评审中包含业务逻辑

建议企业在安全设计审查时，需要评估 API 功能是能否被误用或滥用。自身建设开发的 API 漏洞可提前通过业务逻辑的安全设计审查预防，而供应商提供的 API 由于业务逻辑不透明，该类 API 漏洞只有在安装部署运行后，才会在系统中逐渐暴露。所以安全风险防范不应只停留在部署前的分析阶段，还应建立快速检测和响应机制，避免运行阶段的安全风险。03

制定技术开发安全编码规范

建议企业制定安全编码规范，对身份验证、授权、输入验证和过滤、输出转义、错误处理、加密等功能按照要求细分，同时把供应商提供的技术白皮书和 OWASP 标准为参考，阐释在构建或集成 API 时强制或建议使用哪些功能、库、SDK、基础设施配置和外部控制等（例如识别和访问管理）。

从数据共享到系统连接再到关键功能的交付，API 承载着越来越复杂的应用程序逻辑和越来越多的敏感数据。API 的应用激增，正刺激网络犯罪分子越来越多地利用其安全缺陷进行欺诈和窃取行为。因此，不断优化完善 API 安全，帮助企业探索并搭建适应新需求的 API 安全体系，任重而道远。未来，梆梆安全将结合自身多年的安全实践与技术优势，为企业用户提供适应新要求、新形势下的新一代 API 风险解决方案，构建合规要求下的数据安全治理体系，持续提高数据安全治理能力。