由信息通信研究院（以下簡稱“信通院”）和通信標(biāo)準(zhǔn)化協(xié)會聯(lián)合主辦的“2023 SecGo云和軟件安全大會”在北京成功召開，會上正式發(fā)布《2023API安全發(fā)展白皮書》。

在日益嚴(yán)峻的API挑戰(zhàn)下，企業(yè)需要主動關(guān)注API安全問題并開展API安全防護(hù)體系建設(shè)。

步：基于API生命周期構(gòu)建安全防護(hù)模型

對企業(yè)而言，想要做好安全管理，全生命周期的API管理很有必要。先，API是企業(yè)的私有化資產(chǎn)，從設(shè)計和開發(fā)就是在企業(yè)內(nèi)部完成，API問題的產(chǎn)生通常也是由企業(yè)自身產(chǎn)生。所以，企業(yè)在管理角度上，有必要從開發(fā)和設(shè)計環(huán)節(jié)就開始考慮整個API的管理。

其次，API在整個業(yè)務(wù)生命周期當(dāng)中變化非常快，API實現(xiàn)邏輯一旦發(fā)生變化，很容易引入新的風(fēng)險。因此，從API全生命周期來考慮API安全，圍繞規(guī)劃、開發(fā)、測試、部署、運行到下線的每一個環(huán)節(jié)加強安全建設(shè)顯得尤為重要。

第二步：構(gòu)建基于IPDRR安全架構(gòu)的API安全管理閉環(huán)

在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下，API安全建設(shè)J非易事。API全生命周期管理涉及企業(yè)各部門角色的參與，投入工作量J大，企業(yè)應(yīng)該根據(jù)實際情況來調(diào)整投入產(chǎn)出比。而從G效防御的角度出發(fā)，企業(yè)可以從API的上線運行階段入手，基于IPDRR安全模型實現(xiàn)API安全閉環(huán)管理，結(jié)合自身的業(yè)務(wù)情況有序開展API安全實踐。

基于 IPDRR 模型，企業(yè)可通過持續(xù)識別 API 資產(chǎn)潛在威脅和漏洞、提供安全保護(hù)措施、實施實時監(jiān)測和事件檢測、迅速響應(yīng)安全事件、以及實施恢復(fù)策略和業(yè)務(wù)持續(xù)性計劃，多面保護(hù)API的安全性和可靠性，大化降低甚至避免API風(fēng)險。

附件：威脅獵人聯(lián)合信通院發(fā)布《API安全發(fā)展白皮書（2023）》