由中國信息通信研究院（以下簡稱“中國信通院”）和中國通信標準化協(xié)會聯(lián)合主辦的“2023 SecGo云和軟件安全大會”在北京成功召開，會上正式發(fā)布《2023API安全發(fā)展白皮書》。

在日益嚴峻的API挑戰(zhàn)下，企業(yè)需要主動關注API安全問題并開展API安全防護體系建設。

第一步：基于API生命周期構建安全防護模型

對企業(yè)而言，想要做好安全管理，全生命周期的API管理很有必要。首先，API是企業(yè)的私有化資產(chǎn)，從設計和開發(fā)就是在企業(yè)內(nèi)部完成，API問題的產(chǎn)生通常也是由企業(yè)自身產(chǎn)生。所以，企業(yè)在管理角度上，有必要從開發(fā)和設計環(huán)節(jié)就開始考慮整個API的管理。

其次，API在整個業(yè)務生命周期當中變化非常快，API實現(xiàn)邏輯一旦發(fā)生變化，很容易引入新的風險。因此，從API全生命周期來考慮API安全，圍繞規(guī)劃、開發(fā)、測試、部署、運行到下線的每一個環(huán)節(jié)加強安全建設顯得尤為重要。

第二步：構建基于IPDRR安全架構的API安全管理閉環(huán)

在日益嚴峻的網(wǎng)絡安全環(huán)境下，API安全建設絕非易事。API全生命周期管理涉及企業(yè)各部門角色的參與，投入工作量極大，企業(yè)應該根據(jù)實際情況來調(diào)整投入產(chǎn)出比。而從高效防御的角度出發(fā)，企業(yè)可以從API的上線運行階段入手，基于IPDRR安全模型實現(xiàn)API安全閉環(huán)管理，結(jié)合自身的業(yè)務情況有序開展API安全實踐。

基于 IPDRR 模型，企業(yè)可通過持續(xù)識別 API 資產(chǎn)潛在威脅和漏洞、提供安全保護措施、實施實時監(jiān)測和事件檢測、迅速響應安全事件、以及實施恢復策略和業(yè)務持續(xù)性計劃，全面保護API的安全性和可靠性，最大化降低甚至避免API風險。

附件：威脅獵人聯(lián)合中國信通院發(fā)布《API安全發(fā)展白皮書（2023）》