API安全能力建设桔皮书

发布时间：2022年01月21日

对数据要素掌控和利用能力，已成为经济增长的核心驱动力。在数字化时代，数据是重要资产，数据的安全是网络安全乃至国家安全和社会安定不可或缺的重要要素。在云计算、大数据、人工智能等新兴技术的推动下，众多行业都在经历一场轰轰烈烈的数字化转型大潮。伴随着数字化进程的发展，API作为连接数据和应用的重要通道，在物联网、微服务、云原生等场景都得到了非常广阔的应用，通过API的能力将企业的数据资源整合，即将其服务、能力和资产打包到可重复利用的模块化软件中，让数据在不同环境中使用，包括将其与合作伙伴及其他第三方有价值的资产结合起来。API在数字化转型中的扮演的角色将愈发重要，通过API进行数据交换成为最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象。
近两年来因API安全问题导致的数据泄漏事件频频发生， 可以看到API安全是一个常见但似乎又不为人熟知的挑战。行业对API安全的认识仍处于早期，OWASP API Security Top 10（失效的对象级授权、失效的用户认证、过度的数据暴露、资源缺失&速率限制、功能级别授权已损坏等）指出了API最常见的安全风险。