由中國信息通信研究院（以下簡(jiǎn)稱(chēng)“中國信通院”）和中國通信標準化協(xié)會(huì )聯(lián)合主辦的“2023 SecGo云和軟件安全大會(huì )”在北京成功召開(kāi)，會(huì )上正式發(fā)布《2023API安全發(fā)展白皮書(shū)》。

在日益嚴峻的API挑戰下，企業(yè)需要主動(dòng)關(guān)注API安全問(wèn)題并開(kāi)展API安全防護體系建設。

第一步：基于A(yíng)PI生命周期構建安全防護模型

對企業(yè)而言，想要做好安全管理，全生命周期的API管理很有必要。首先，API是企業(yè)的私有化資產(chǎn)，從設計和開(kāi)發(fā)就是在企業(yè)內部完成，API問(wèn)題的產(chǎn)生通常也是由企業(yè)自身產(chǎn)生。所以，企業(yè)在管理角度上，有必要從開(kāi)發(fā)和設計環(huán)節就開(kāi)始考慮整個(gè)API的管理。

其次，API在整個(gè)業(yè)務(wù)生命周期當中變化非�？�，API實(shí)現邏輯一旦發(fā)生變化，很容易引入新的風(fēng)險。因此，從API全生命周期來(lái)考慮API安全，圍繞規劃、開(kāi)發(fā)、測試、部署、運行到下線(xiàn)的每一個(gè)環(huán)節加強安全建設顯得尤為重要。

第二步：構建基于IPDRR安全架構的API安全管理閉環(huán)

在日益嚴峻的網(wǎng)絡(luò )安全環(huán)境下，API安全建設絕非易事。API全生命周期管理涉及企業(yè)各部門(mén)角色的參與，投入工作量極大，企業(yè)應該根據實(shí)際情況來(lái)調整投入產(chǎn)出比。而從高效防御的角度出發(fā)，企業(yè)可以從API的上線(xiàn)運行階段入手，基于IPDRR安全模型實(shí)現API安全閉環(huán)管理，結合自身的業(yè)務(wù)情況有序開(kāi)展API安全實(shí)踐。

基于 IPDRR 模型，企業(yè)可通過(guò)持續識別 API 資產(chǎn)潛在威脅和漏洞、提供安全保護措施、實(shí)施實(shí)時(shí)監測和事件檢測、迅速響應安全事件、以及實(shí)施恢復策略和業(yè)務(wù)持續性計劃，全面保護API的安全性和可靠性，最大化降低甚至避免API風(fēng)險。

附件：威脅獵人聯(lián)合中國信通院發(fā)布《API安全發(fā)展白皮書(shū)（2023）》