7 大 API 安全最佳实践

在软件开发生命周期的早期整合安全实践至关重要。专家们讨论了避免将安全性作为事后考虑的诱惑。应在开发过程的初期就让安全团队参与其中。没有设计在先以及缺乏评估遵守这些设计的流程，终端更容易被黑客利用。

“我们讨论的所有左移安全措施都很重要。安全性必须在过程中更早地开始，这是必不可少的，”Curity的CEO兼网络研讨会的专家小组成员Travis Spencer表示。

作为设计优先的API领导者，Stoplight始终将安全性放在首位，这也是我们的安全专家们最关注的问题。采用设计优先的方式，在设计阶段实施安全思维，可以帮助加固您的API。教育开发人员关于API安全的最佳实践，并让他们参与预防漏洞的过程中，从而在漏洞被利用之前就予以防范。

专家们还倡导了左移安全性的两个关键方面：

使用设计时工具定义API合同，并根据安全要求进行验证。这确保了安全性从一开始就被内置到API设计中。此外，威胁建模对于理解API开发的风险和影响至关重要，并且应将其整合到API设计过程中。欲了解更多关于安全趋势和左移安全的内容，请查看我们最近的其他网络研讨会。

测试很重要；考虑使用自动化测试工具或专门针对API的测试技术，尽早识别漏洞和安全问题。专家们讨论的一个关键主题是不要信任通过API传递的任何数据，并将所有API视为潜在的风险。他们强调了验证和验证每个调用者的重要性，无论是人类还是机器，都应使用令牌和可信密钥。

“你的系统可能会受到数百万种攻击方式的威胁，你需要确保涵盖所有这些攻击方式。安全是每个人的问题，不仅仅是流程结束时的安全人员的责任，”42 Crunch的CTO兼联合创始人Isabelle Mauny分享道。

还值得注意的是，公开的API尤其会构成威胁，因为它们在定义上暴露在互联网上。如果您的API暴露在外，那么它应被视为公开的，并应采取相应的安全措施。

将安全性作为开发过程的连续部分进行整合。定期审查和验证API的安全漏洞，并确保在每次发布时进行安全测试。注意，身份验证和授权失效是导致API泄露的最常见问题，因此尤其要关注这些方面，以确保API的安全性。

培养安全文化对于成功的API开发至关重要，这需要思维方式的转变和全组织的认同。鼓励您的开发人员和API团队将安全性视为一种协作努力，而不是阻碍。鼓励安全团队与开发团队之间的合作，以促进更好的安全实践，并确保安全人员始终参与其中。

请记住，安全是一种实践，而不是一种状态。虽然要拥抱将安全性视为产品特性的价值观，但也要明白，仅仅是思维方式的转变还不够。

我们的专家强调了安全团队与应用开发人员之间合作的重要性，因为理解API并让开发人员参与安全计划对于识别和修复漏洞、逻辑缺陷和授权问题至关重要。

任命嵌入开发团队的安全冠军，以促进安全意识、知识共享并鼓励最佳安全实践。这些人不必属于安全团队，但他们应该在API开发的各个阶段都将安全性放在首位。

如果您不确定应指定谁为“安全冠军”，可以考虑API产品经理。这个角色通常在弥合安全与开发团队之间的差距方面发挥关键作用，并应负责管理API并确保满足安全要求。这个角色还可以帮助您将API视为产品，从而在后期减少安全问题的发生。

建立强大的API治理，定义API开发、管理和安全的标准、政策和程序。在整个API设计生命周期中贯彻治理最佳实践，有助于保持一致性，并确保API遵循安全最佳实践，因为它们是标准化的。

一个良好的治理计划包括在某种程度上整合风格指南，以标准化API的创建并保持其一致性。它还意味着要有良好的API发现性和可见性，从而更好地了解可能存在的安全风险。

“拥有所有API的清单，了解它们的功能、行为、访问权限以及在何种条件下可以访问它们，这非常关键。但问题是，您需要有那层安全保障。但如果您不知道自己拥有什么，并且无法根据需要进行部署，那么这将无法实现，”APIsec大学创始人兼网络研讨会专家小组成员Dan Barahona表示。

在安全措施方面总有更多可以做的，但可以从小处入手，从初步的安全实施中学习。我们的专家们与从初创公司到财富500强公司都有合作经验，但最重要的是要意识到，在每个阶段都可以做一些小改进来提升安全实践。并且一如既往地，基于客户反馈、经验以及在安全集成过程中获得的教训，持续改进安全实践。

通过遵循这些最佳实践，安全专家可以帮助确保API安全成为开发过程中的一个不可或缺的部分，并且API能够构建出具备强大安全措施的系统，以防止潜在威胁和漏洞。最终，通过提供改进开发人员体验的工具和流程，使安全成为开发人员的净收益，从而总体上为更安全的API生态系统做出贡献。

除了这里讨论的最佳实践，专家们还建议考虑OAuth框架和FAPI（金融级API）标准，这可能为进一步的探索提供机会。