Tracup防止API数据泄露的10条军规

应用程序编程接口（API）是连接现代数字生活的无形纽带。无论您是使用智能语音设备开灯，还是通过轻扫手机支付杂货费用，还是使用地理位置送货，API都可以协同工作，使许多客户体验成为可能。然而，在连接的每个点上，坏人都可以利用这些数字握手中的薄弱环节，并撬开客户的个人信息。

虽然API经济蓬勃发展，但API数据泄露也是如此：仅在2019年，Equifax的泄露就损失了11.4亿美元。Capital One的黑客攻击影响了1亿客户，成本高达1.5亿美元。Hostinger在API数据泄露中丢失了1400万条客户记录，Facebook在其API攻击中影响了5000万个帐户。然而，许多公司仍然没有特定于API的安全程序，或者即使有，它无效。

随着API使用量的增加（今天，API以某种方式占所有互联网流量的83%），对API安全采取经过验证的方法的需求从未像现在这样大。API安全的十项原则可以帮助公司抵御互联网上攻击最严重的数字表面之一。这些原则中阐述的概念将企业导向向左转的预防文化，并在不牺牲API优势的情况下增强安全性、灵活性和速度。

通过将这些最佳实践构建到您的API程序中，您可以确保您的API完成它们想要做的事情：加快向消费或参与渠道交付功能。

1. 跨职能团队协作

使用全职跨职能团队管理和改进您的API可以增强您的API安全性。团队连续性使成员能够深入了解代码及其功能，并促进更多的重用，而不是创建新解决方案。对于坏人来说，更少的API转化为更小的攻击表面。全职团队还有了解业务流程和下游系统的额外好处，使他们能够快速修改API。

2. 在内部实施“作为服务”产品

您的组织需要将其心态从“拥有运营服务”转变为向内部客户提供“服务”。例如，如果您正在构建网关，那么应该有一个“服务”团队来加入开发团队，使体验尽可能无摩擦。这创建了经过测试、安全和值得信赖的流程，并快速交付。该团队还应与开发团队合作，以寻求反馈，并不断努力获得更好的体验。

3. 训练到模型

为了确保安全，您必须接受最佳做法的培训。一个连贯的培训和通信计划，指导如何构建API，战略性和日常执行安全性，并进入网关，这有助于增加组织知识。当出现自然减员、新团队成员加入或新团队分化时，API安全的基础保持不变。

4. 使用预定义机制

通过安装可重复的流程和标准，如预定义的安全模式、设计标准和参考体系结构，您可以帮助确保开发人员坚持最佳和最安全的做法，同时快速创建优质产品。

5. 产品化API

在API的消费方面，产品化提高了消费速度并解放了组织。由于API通常是为集成（例如网站和移动应用程序）构建的，开发团队有时会将它们视为一次性。这是一种短视的心态，孕育了方便的设计，而不是有效的、以客户为中心的解决方案。该功能最终通常看起来像您的业务系统，而不是您试图解决的消费者问题。

相反，了解您的消费者是谁，他们需要解决什么问题，然后构建解决他们问题的API。随着对消费者和使自助门户成为可能的可重复流程的关注，安全性变得分层到架构中。

6. 封装以降低复杂性

一旦您了解了消费者试图解决的问题，请将API背后的该功能的所有复杂性封装起来，为消费者提供尽可能简单的界面。这不仅使API更具吸引力，还通过隐藏底层架构的显式细节使其更安全。

7. 开发预建/预批准的组件

无论是网关中的策略、API的脚手架还是具有标准化安全机制的OpenAPI规范合同，您都可以进行越多的预构建和预先批准，您就越快、更合规、更安全。

8. 自动化以简化安全功能

仅在必要时编写程序并尽可能自动化，从而消除错误和不必要的工作。自动化活动应预先批准，并被确定为安全和最佳实践，允许它们在您的API实践中激增。还应实施自动化，以确保适当的安全性，并正在使用实践。

9. 实施灵活的治理

企业API、核心API和合作伙伴API只是您可能维护的少数API。当您查看具有不同顾虑、风险和标准的无数用例时，您需要检查特定API应该在哪里合规，然后将其传达给您的开发团队，以便他们知道该特定构建中他们最关心的是什么。我们建议采取以风险为导向的“及时、足够”的治理方法，并在可能的情况下使用自动化来确保质量。

10. API监控

即使你准备快速发展，并且你已经实施了上述原则，监督仍然是必要的。信任，但要验证。您需要自动化的监督流程，这些流程梳理日志、分析和交易行为，以根除不良行为者和不良做法。您还应该审查代码，进行采样和手动审计，以确保支持API安全程序的标准化得到遵守。

API安全不仅依赖于解决方案。就其核心而言，它要求组织文化的左转，以围绕可重复流程、模块化机制、以客户为中心的自动化进行重建。

Tracup API connect 链接生产力工具，这仅仅时开始......

随着数字化进程的不断加快，加之后疫情当下，企业、组织、政府，越来越多的工作需要多线程远程协作才能完成，生产力工具得到了一个快速的发展机会。Tracup API connect让程序员、知识工作者的生产力工具切换自动化，帮助团队卓有成效地组织工作，让每一项结果都沉淀、贯穿于工作流当中，同时也大大节省分别使用不同工具和服务的费用。