威胁猎人联合中国信通院发布《API安全发展白皮书（2023）》

由信息通信研究院（以下简称“信通院”）和通信标准化协会联合主办的“2023 SecGo云和软件安全大会”在北京成功召开，会上正式发布《2023API安全发展白皮书》。

在日益严峻的API挑战下，企业需要主动关注API安全问题并开展API安全防护体系建设。

步：基于API生命周期构建安全防护模型

对企业而言，想要做好安全管理，全生命周期的API管理很有必要。先，API是企业的私有化资产，从设计和开发就是在企业内部完成，API问题的产生通常也是由企业自身产生。所以，企业在管理角度上，有必要从开发和设计环节就开始考虑整个API的管理。

其次，API在整个业务生命周期当中变化非常快，API实现逻辑一旦发生变化，很容易引入新的风险。因此，从API全生命周期来考虑API安全，围绕规划、开发、测试、部署、运行到下线的每一个环节加强安全建设显得尤为重要。

第二步：构建基于IPDRR安全架构的API安全管理闭环

在日益严峻的网络安全环境下，API安全建设J非易事。API全生命周期管理涉及企业各部门角色的参与，投入工作量J大，企业应该根据实际情况来调整投入产出比。而从G效防御的角度出发，企业可以从API的上线运行阶段入手，基于IPDRR安全模型实现API安全闭环管理，结合自身的业务情况有序开展API安全实践。

基于 IPDRR 模型，企业可通过持续识别 API 资产潜在威胁和漏洞、提供安全保护措施、实施实时监测和事件检测、迅速响应安全事件、以及实施恢复策略和业务持续性计划，多面保护API的安全性和可靠性，大化降低甚至避免API风险。

附件：威胁猎人联合信通院发布《API安全发展白皮书（2023）》