在不久前，应用程序编程接口 (API) 还是一个抽象概念。随着组织发展及流程数字化，单个应用程序中的许多复杂的相互依赖关系让开发人员、业务领导和客户感到复杂。但当转向微服务架构时，API的作用迅速提升。API在软件供应链中发挥着关键作用，软件供应链也逐渐自动化，并通过持续集成/持续交付 (CI/CD) 模型相互连接。

软件供应链中的任何一环都可能存在被攻击的风险，API也不例外。2021年的一项调查中，73%的企业表示他们已经发布50多个API，并且这个数字还在不断增长。API在软件供应链中的角色是如何演变的?

应用程序生命周期

软件供应链是现代应用程序开发生命周期的基本组成部分，可协助整个行业的数字化转型。一些最早的用例出现在电子商务中，其中的交互仍然受到技术和组织竖井的限制。

随着开发人员构建转向云平台，在开发过程中越来越多地在软件供应链中连接和集成关键的应用程序和服务。API 通过充当供应链环境和应用程序之间的数字中介，实现了应用程序、服务和开发团队的这种融合。API自动化日常流程并支持不断创新，同时改善最终用户体验。

此后，API从提供和分析数据的机制发展到管理业务的整个运营和服务相关方面。随着对API的逐渐依赖，并且使用日趋成熟，软件供应链发生一些变化，包括:

以更统一的方式提供与数据和流程的通信，取代了自定义数据调用。

消除了数据和用户之间的空间，加快处理速度，改善用户体验。

与传统服务器相比，API提高了文档透明度，从而提高了整体的安全风险评估和更高级别的敏捷性。

软件供应链攻击

数字化转型加速，云技术不断发展。随着我们进入Web的下一次迭代，对API的依赖预计会增长。与此同时，黑客正在利用API作为最新的攻击媒介。据预测，到2022年，全球45%的组织将在其软件供应链上遭受攻击，比2021年增长三倍。需要注意的是，API 漏洞修复时间要比修复传统应用程序安全漏洞更长。

现如今，企业可能拥有数千个API但并不知情，并且当前所使用的API部署方案很可能存在漏洞，或者受到错误配置的影响。然而，现有的网络基础设施包括API网关和应用程序防火墙并不能解决“影子API”问题，企业需要采取更加积极主动的方式来保护API。

保护API

作为全面检测安全的第一步，最重要的是检查当今对应用程序安全测试最常见的方式：静态安全测试和动态安全测试。

静态安全测试采用白盒方法，通过审查设计、架构或代码，包括数据在通过应用程序时可能采用的许多复杂路径，基于应用程序的已知功能创建测试。

动态安全测试采用黑盒方法，在给定一组特定输入的情况下，根据应用程序的预期性能创建测试，不需要内部处理或底层代码知识。

“灰盒”API 安全测试有助于了解应用程序的内部工作原理(例如，参数、返回类型)，有助于有效地创建专注于业务逻辑的功能测试。

通过多种方式结合使用，可以有效查找API中存在的安全漏洞和运行时有针对性攻击的问题。

此外，越来越多的行业意识到需要在API的整个生命周期内保护它们，将API放在安全控制的前沿和中心位置。采取措施进行左移API安全测试将降低成本并加快修复时间。

API 是当今数字生态系统的管道，使数据能够移入和移出数据中心，无论是私有托管、公共云还是两者的混合组合。虽然这意味着新的创新机会，但也意味着网络犯罪分子也可以像客户一样，通过API访问企业内部。

文章来源：综合整理

[课程]FART 脱壳王！加量不加价！FART作者讲授！