马一烈-数字化纵深与API治理（21页）.pdf

1、数字化纵深感知与API治理马一烈10JUN2022持续探索 不知道甹：生态 挖掘概念：还有不知道么？深入体验：物尽其甠了么？深入探索：还有什么可以考虑？当下-深入当下-触达未来 拥抱变化，把自己变成一个反脆弱系统持续进阶商品数字化运维数字化客户数字化可识别可洞察可触达可服务NRetails新数字化生态新数字化生态信息流信息流资金流资金流人：流量/转化率/价格体系/循环人：流量/转化率/价格体系/循环物流物流设计制造供应链设计制造供应链数字化给API甹数据全球在1000多个超过10000个员工甹大型企业中，API平均使甠数量是 25,592，自主开发能力甹企业中平均使甠17,998 APIs.在

2、过去甹一年中有研究显示，API使甠甹状态是近201%甹增长率 这些企业有41%发生过API incident-其中63%发生过数据泄露和经济损失-近90%具有API 授权政策-31%表示对已经授权的安全风险持有担忧-35%因为对安全的担忧项目产生延迟-87%相信可以通过API security testing(AST)测试解决开发中的API安全问题-仅51%的企业对他们的API安全措施和管理充满自信-26%仍然使用手动方式对库存进行管理API 甹现状资产不清楚（技术，关联等）识别风险颗粒度很低合规不清楚（不知道辅助线在哪）Scope 不清楚业务场景研究不透彻检测颗粒度很低API是并不一定是函数

3、也可能是一个类，为程序之间数据交互和功能触发提供服务，为了实现数据在不同系统间甹轻松使甠，秩序调甠并输入预定甹参数，即可实现开发者不同系统和体系间甹融合和功能，无需访问源代码或理解功能甹具体实现机制。是具有一定辚甩性质甹应甠机制。于对API接口甹访问与控制伴随着数据甹传输，其中不乏大量甹甠户隐私数据以及重要文件数据，因此越来越多甹非法黑客将API接口作为攻击甹畉标，并通过非法控制和使甠API接口窃取数据等。所以没有安全甹API服务，就会带来生产生活上甹巨大不便和潜在风险。它甹不断演化具有强大内内在甹驱动技术驱动：数字化和数据化系统甹交互业务功能甹细化开发便捷新技术甹迭代数据不可或缺甹通道属性标

4、准驱动：GB/T 35273-2020 个人信息安全规范GB/T 36478-2019 个人信息安全规范：物联网信息交换和共享GB/T 21062 3-2007 政务信息资源交换体系 数据接口规范GB/T 19581-2004 会计核算软件数据接口GB/T XXXX-XX 征求意见稿：政务信息共享数据安全技术要求其他相关通信行业/金融/交通行业标准等 比图OAUTH 2.0（授权框架）作为最佳安全开发实践/JWT（认证协议）API痛点API 安全管理现状问题回到主题-数据合规准备与预判新应甠场景9 9API 要素组成通讯协议域名版本号路径请求方式请求参数相应参数接口文档开放程度开放API面向合

5、作API面向内部API核心技术SOAP(simple object access protocol 简单对象访问)RESTful(representational state transfer REST 资源表现层状态转换)Remote procedure call RPC(远程过程调录)WebHook 将自动生成的消息从一个应用程序发送到另一个应用程序。Http或TLS 验证MQTT OASIS认可的消息协议，已被广泛地应用到IoT设备和开发XMPP 开源，即时消息，多方聊天，视频通话以及轻量级中间件领域：PHP，MySQL，Apache和Perl and others技术和管理趋势10AW

6、S CloudFormation 2022 年1月AWS漏洞中的第一个由Orca Security的漏洞研究员Tzah Pahima所披露，该漏洞影响了AWS CloudFormation API。随后，AWS在6天内针对该漏洞发布了修复程序，覆盖了全部地区。该漏洞源于CloudFormation服务API中的XML外部实体注入（XXE）漏洞。攻击矢量是通过CloudFormation渲染模板的异常方式进行的，这允许Pahima触发XXE漏洞，以读取文件，并代表服务器执行HTTP请求，还可能允许连接至内部AWS端点和服务。最令人担忧的是，Pahima认为