知道如何避免浪费时间的软件开发人员会使用可重用的微服务和相应的 API 作为应用程序组件的基本成分。“开发人员希望专注于他们可以提供的附加值,而不是重建已经存在的优秀解决方案,”思科开发人员关系/战略/体验副总裁 Grace Francisco 表示。“使这些任务变得更容易的 API 更容易让开发人员使用,”他说。
ⓒ 盖蒂图片银行
开发人员实际上是在使用 API 根据2020 年 SlashData调查近 90% 的开发者
使用 API 的软件开发方 澳大利亚 WhatsApp 号码数据 法效率很高,但也会导致安全漏洞,让 CISO 夜不能寐。随着相互依赖的 SaaS、微服务以及内部和外部 API 的引入,公司在识别和控制所使用的 API 方面变得更加困难。令人眼花缭乱的相互关联的云原生架构让人想起苏斯博士的话:“这个混乱太大、太深、太高。”
这种混乱甚至还会扩大。API 通常分布在多个平台上,无论是在本地还是在云中。云原生架构不能集中到一个具有强大安全边界的整齐单元中。
更严重的问题是API本身的安全级别不一致。内部和外部 API 都容易受到攻击,并且在某些情况下,代码会间接依赖于易受攻击的 API。API 漏洞可能发生的层范围从云安全态势到构建应用程序的映像、云原生应用程序的配置、构成应用程序本身的软件以及启用内部和外部的 API 实现。云原生应用程序的外部通信。
持续集成/持续交付当今以管道为中心的敏捷开发文化在短周期内交付应用程序,这可能会导致复杂的安全问题。两周的冲刺项目现在已经很熟悉了。“因为我们构建和部署的速度如此之快,所以有些事情在实际运行和实时生产中之前是无法捕捉或理解的,”Francisco 说。当谈到安全性时,迟做总比不做好,但是将安全工作推迟到开发周期结束会浪费时间和精力。
科开发者关系/战略/体验副总裁
在管理 API 生命周期时,开发人员使用 API 网关来控制访问和权限。网关还可以控制谁进出使用该服务。弗朗西斯科指出,虽然网关提供了一定的安全性,但“仍然可能存在漏洞。”
经常受到网络攻击威胁 数字列表 的公司通常会面临整个代码的风险,无论其来源如何。您可能无法应对 API 造成的混乱。
随着 API 的自由分发和潜在攻击向量数量的增加,对 API 安全组件的微观观察和分析也在不断增加。“在现代软件开发过程中,API 面临着更大的压力,包括它们的构建和分发方式,”凯捷美洲总部负责云和自定义应用程序的管理交付架构师 (MDA) Ron Whitty 说道。“现在还需要代码质量检查、安全检查和内联测试,这会导致管道更加复杂。”
思科的 API 安全解决方案
为了解决 API 环境的复杂性并提高安全性,思科采用了“左移”策略 ,在软件开发过程的早期就集成了安全性。“安全左移的关键是让安全成为开发人员日常工作的重中之重,这样他们就可以强化代码并减少网络攻击的威胁,”Francisco 解释道。思科的“APf-for-an-API”解决方案荣获 2022 年
CSO50 奖,将安全性与企业 API 服务的端到端周期相结合。它支持代码开发和部署,在应用程序生产过程中实时跟踪API的安全状况,并与API网关集成。根据Cisco的安全策略测试API接口。
该端到端解决方案适用于开发人员和 DevSecOps 专业人员。“从文化角度来看,这是一个有着不同言论、看待不同数据点的群体,因此要打破两者之间的隔阂,还有很多工作要做,”弗朗西斯科解释道。
在众多专注于安全的工具中,“API for API”解决方案的最大优势在于,它通过一个控制基础架构来管理所有工具,以便开发人员能够快速有效地获得洞察。Francisco 补充说,这些工具使开发人员和 DevSecOps 专业人员能够积极主动,因为它们在整个工作流程中提供了更高的可见性,而且他们可以在不离开工作环境的情况下使用这些工具也很重要。由于该工具与集成开发环境 (IDE) 集成,因此开发人员无需离开 IDE 即可访问该工具。
思科利用单一工具集为开发人员、安全运营人员和管理人员提供安全见解,同时以安全且可重复的方式部署应用程序。
思科解决方案的组件
对于开发人员来说,在 IDE 内部,开源工具API Insights提供了基于浏览器的视图。它可以帮助开发人员在编码时沿着 CI/CD 管道前进。跟踪 API 质量,同时遵守预先制定的风险标准。
思科选择 Panoptica 云原生应用安全平台来收集有关第三方 API 及其在全球范围内构成的潜在安全威胁的见解。当代码通过暂存、测试和生产阶段部署时,该平台提供实时跟踪和生产级洞察,突出显示开发人员使用的第三方 API 的潜在问题。“Panoptica 的安全平台会收集有关 API(例如僵尸 API)的见解和数据,同时应用程序正在运行以捕获威胁,”Francisco 解释道。Panoptica还重新实现了开源工具APIClarity的功能。
