幂简集成LOGO
API Hub
开放平台
API学院
词汇表
产品介绍
关于我们
控制台
所有文章 > API术语解释 > 影子API和僵尸API之间有什么区别?
影子API和僵尸API之间有什么区别?

影子API和僵尸API之间有什么区别?

2024-12-05

不幸的是,影子 API 和僵尸 API 太常见了。虽然它们的名字很酷,但它们对组织、数据安全和用户隐私的影响却非常不酷,威胁到正确的安全最佳实践。在本文中,我们将研究这些类型的 API 之间的区别,并提出一些减轻其负面影响的方法。

什么是 Shadow API?

首先,让我们定义一个影子 API。开发 API 时,它们会附带一系列相关任务。其中最主要的是记录 API,确保它们被分类并解释其用途。

影子 API 的出现源于缺乏适当的文档实践。虽然文档是 API 开发的最佳实践,但从技术上讲,它并不是 API 运行的必要条件。因此,API 有时会在没有任何文档的情况下开发,没有任何 API 存在的说明,也没有添加到其他 API 的目录或语料库中。

这些 API 存在于组织的阴影中,在许多情况下,由于知识孤岛、组织变动或纯粹的健忘,人们失去了对这些 API 的认识。这可能会导致具有特权访问权限或关键功能的 API 在组织不知情的情况下存在,从而给总体安全态势带来重大问题。

影子 API 是未经组织意识到或记录的 API

什么是僵尸 API?

假设您的 API 已经开发完成,并且具有良好的安全状态,并且有详尽的文档。文档的实际情况是,只有保持最新状态并得到维护,它才是好的。需要定期维护和审核才能使其物有所值。

那么,如果一个 API 被废弃、弃用或者虽然可以访问,但已经变得没有必要,却仍然继续存在,会发生什么情况呢? 在这种情况下,API 就变成了僵尸 API。

尽管僵尸 API 不再是常规产品的一部分,但它们仍然可以访问和使用。就像低俗小说中的僵尸一样,它们在 API 墓地中徘徊,虽然没有完全死去,但也并不完全活着,只要存在就会造成严重破坏。这可能会导致严重问题。这些 API 仍然可用,可以访问数据并在网络上工作,但无需像标准 API 那样进行维护或关注。

僵尸 API 是已被弃用或放弃但仍可用的 API。

Shadow API 和 Zombie API 有何相似之处

首先,应该指出的是,这两种类型的 API 都是由于缺乏关注而产生的。糟糕的文档实践会导致过时和弃用标准

在这两种情况下,这种注意力的缺乏可能是疏忽,也可能是意外。无论如何,结果都是一样的:能见度降低

Shadow API 和 Zombie API 有何不同

话虽如此,这些类型的 API 确实存在一些明显差异。影子 API 源于组织问题,只需创建和维持适当的文档文化内部发现即可纠正

然而,就僵尸 API 而言,问题在于基础。除了影子 API 固有的组织问题之外,僵尸 API 还表明缺乏文化一致性。

缓解 Shadow API 和 Zombie API 的问题

值得庆幸的是,您可以采取某些措施来改善组织协调并降低创建影子 API 和僵尸 API 的可能性。以下是缓解此类 API 引发的一些问题的方法。

安全问题

影子 API 可能与安全资源连接,因为它们被设计为充当标准 API。影子 API 的最大问题是缺乏文档。因此,解决安全问题的第一步是确保 API 是必要的、最新的和有文档记录的。一旦有文档记录,就必须审查 API,以确保它符合当前产品供应并遵守安全态势规则和规定

另一方面,僵尸 API 之所以存在,是因为它们已经超过了预期的使用寿命。僵尸 API 本来就应该被弃用或放弃,这是有充分理由的,因此,要纠正安全问题,唯一真正的步骤就是找到它们并完全切断访问。

合规问题

这两种 API 类型都可能引发合规性问题。对于影子 API,问题在于访问信息的途径是否符合行业和监管标准。对于僵尸 API,问题在于 API 是否仍然合规,无论它曾经是否合规 — 如果故意放弃,则可能构成疏忽,如果在已知其安全性较弱的情况下放弃,则情况可能更糟。

没有文档,这一切都无法得知。因此,您的第一步是找到文档或创建文档。接下来,审查和审计所有配置和功能,以确保它们确实合规,并审查一段时间内的事务,以确保没有数据泄露并且维护了安全性。

隐私问题

最后,您必须检查这两种 API 类型的隐私注意事项。对于影子 API,隐私应与组织的标准保持一致,但如果没有文档记录,则必须对此进行详细审核和审查。对于僵尸 API,这更加复杂。这些 API 在开发时可能符合隐私期望,但可能已经过时。

在这种情况下,您不仅必须解决问题,还必须记录问题并尽职尽责,以确保没有私人数据被访问,也没有漏洞被利用。在许多情况下,监管机构会要求这样做,但即使不是,这在道德上也是正确的,应该作为标准做法。

关于保护影子 API 的最终想法

最终,影子 API 和僵尸 API 是重大问题,应在检测到后立即处理。应找出问题的原因并迅速纠正,以确保问题不会持续下去。

组织通常将安全态势视为所有部分的总和,包括防火墙、网关和其他组件。然而,实际情况是,您的安全态势的好坏取决于您掌握的有关系统的信息。正如人们所说,您无法保护您不知道的东西。

因此,理解和清晰度是安全态势的关键要素。影子 API 和僵尸 API 会破坏理解和清晰度,其中任何一个的存在都代表着整体态势存在重大弱点。因此,加倍重视这些领域对于提高整体安全性至关重要。

原文地址:https://nordicapis.com/whats-the-difference-between-shadow-apis-and-zombie-apis/

上一篇:

什么是 API 即服务?

下一篇:

什么是API定义?
#你可能也喜欢这些API文章!
搜索、试用、集成国内外API!
幂简集成API平台已有 4581种API!
API大全
同话题下的热门内容
na
什么是API定义?
2024-12-05
na
简化API缩写:应用程序编程接口终极指南
2024-12-02
na
REST APIs与微服务:关键差异
2024-10-28
na
首次构建 API 时的 10 个错误状态代码以及如何修复它们
2024-08-29
na
探索 API 请求头
2024-08-26
na
完整的 API 开发指南:常见术语与工具
2024-08-25
内容关键字
内容目录
  1. 什么是 Shadow API?
  2. 什么是僵尸 API?
  3. Shadow API 和 Zombie API 有何相似之处
  4. Shadow API 和 Zombie API 有何不同
  5. 缓解 Shadow API 和 Zombie API 的问题
  6. 关于保护影子 API 的最终想法