《谷歌云：API 安全性：最新数据洞见和主要趋势（13页）.pdf》由会员分享，可在线阅读，更多相关《谷歌云：API 安全性：最新数据洞见和主要趋势（13页）.pdf（13页珍藏版）》请在三个皮匠报告上搜索。

1、API 安全性：最新数据洞见和主要趋势 2022 年研究报告 API 安全性对企业的创新进度有何影响，以及 IT 主管正在采取哪些措施来降低风险 2022 Google LLC。保留所有权利 2 目录目录 内容提要 3 威胁无处不在 4 影响创新进度 5 采取积极的 API 安全保障措施势在必行 6 现状评估 7 充满信心应对安全威胁 7 信心是否盲目？8 企业将积极应对 API 安全性视为要务 8 发展机遇 9 整合、端到端监控、监督必不可少 9 这一领域需要更多培训和认证 9 大多数组织都认同其安全策略需要改进 10 并非所有组织都将 API 安全策略视为头等要务 11 API 管理解决方

2、案和 API 网关解决方案的影响 11 API 安全性是 API 宏观策略 的关键一环12 2022 Google LLC。保留所有权利 3 内容提要内容提要 随着数字体验的采用率不断攀升，应用编程接口（或称 API）的使用也愈加广泛。这使得 API 成为全球组织在安全方面的一个重要漏洞领域。本报告审视了 API 安全领域存在的威胁以及这些威胁对创新进度的影响，深入探讨了技术领导者对 API 安全状况和策略的总体观点，并就组织可以利用哪些机会来提升 API 安全性提供了思路。报告基于 Google Cloud 在 2022 年 5 月到 6 月期间开展的一项调查研究，调查对象为对组织购买 AP

3、I 计划相关技术解决方案具有重要影响或决定权的技术主管，他们均来自于至少有 1,500 名员工的美国公司。其中，“API 安全性是 API 宏观策略的关键一环”章节中指出，由于威胁无处不在，API 安全现状越来越受 IT 高管的关注，但是大多数组织的 API 安全策略仍然有待改进。这就需要组织采用主动的安全功能和措施，以及端到端 API 安全解决方案，比如全生命周期 API 管理平台“Apigee”。2022 Google LLC。保留所有权利 4 威胁现状威胁现状 威胁无处不在 世界各地的公司主要依赖应用编程接口（或称 API）来实现数字体验，以及释放自有数据和流程的潜能。API 是组织融合

4、专有数据与第三方资产的关键一环。同时它也对于实现应用现代化，助推互操作性，进而打造高效的功能，起着至关重要的作用。但是，API 的普及和日趋重要也给组织带来了风险。作为把守大量信息和系统的门户，API 已经成为黑客们趋之若鹜的目标。我们的研究证实了这些威胁的广泛影响。我们对美国的 500 多位技术主管开展了一项调查。有半数的技术主管表示，他们在过去 12 个月内曾遇到过 API 安全事件。这一比例会因受访对象不同而上下波动。62%受访的企业最高管理层表示，他们在过去 12 个月内曾遇到过安全事件，而这一比例在其他中级管理层中仅有 37%。这可能说明履行相关职能的 IT 团队的职权范围有限，也可

5、能揭示了对负有更大责任的高管来说，问题已经表露无疑。或者，两者兼有。API 安全事件 2022 Google LLC。保留所有权利 5 更为严重的是，威胁来自于为数众多的 API 安全领域，平均每个 IT 主管都确定了三个以上的领域。虽然没有哪个领域特别突出，但有三个最为常见的潜在威胁来源，分别是安全配置错误、过时的 API/数据/组件以及爬虫程序/垃圾邮件/滥用。配置错误是其中占比最高的一个威胁领域，有五分之二的 IT 主管选择了安全配置错误或配置有误的 API。API 安全威胁的来源 影响创新进度 这些威胁和安全事件带来了切实的影响。API 安全性正在拖慢许多组织的创新步伐。半数以上(53

6、%)的组织因 API 安全问题而推迟发布新的服务或应用。在过去 12 个月内遇到过安全事件的组织中，超过四分之三(77%)的组织推迟了发布其新服务或新应用。因 API 安全问题而推迟发布新的服务或应用 2022 Google LLC。保留所有权利 6 采取积极的 API 安全保障措施势在必行 在整个开发过程中，会引入来自各种来源的安全漏洞，这无疑导致在 API 生命周期的每一个阶段（从设计、测试到部署等等）都不乏安全问题的影子。不难想象，作为发布管理流程一环的测试阶段，安全问题在此时最常见(67%)；不过在从部署到生产的整个过程中往往也会发现大量漏洞(64%)。这表明可能会存在将漏洞部署到生产