随着云原生和软件开源技术的蓬勃发展,越来越多的开发平台和第三方服务快速涌现,应用系统与功能模块的复杂性不断提升,应用开发深度依赖于应用程序接口(Application Programming Interface,API)之间的相互调用。近年来移动应用深入普及,促使社会生产、生活活动从线下转移到了线上,API在其中起到了紧密连接各个元素的作用。为满足各领域移动应用业务需要,API的绝对数量持续增长,通过API传递的数据量也飞速增长。开发框架的演进也是推动API发展的重要因素,随着容器化、微服务的发展,API作为支撑的重要技术也逐步被大规模的使用。
API作为连接服务和传输数据的重要通道,已经从简单的接口转变为IT架构的重要组成部分, 成为数字时代的新型基础设施,以及数字化时代一种重要且特殊的数字化资产,随之而来的则是对于API安全问题的思考。本文结合API发展趋势与面临的安全风险,以IAST代码疫苗技术为抓手,深入讨论IAST技术在API安全方面的应用。
一
API安全基础介绍
1.1 API发展
API是系统不同组成成分的衔接约定,在当下已成为应用间连接服务和传输数据的重要通道,成为数字时代的新型基础设施。
API服务的发展历程也可以看做从单体架构走向微服务架构不断变化的过程。随着互联网技术的不断发展,其IT基础设施架构日趋复杂,传统的单体架构已经不适用于当下敏捷的要求。云和容器这两种技术的兴起,为实现企业持续集成和快速部署项目的需求,微服务已成为高速增长公司中构建应用程序的首选。伴随着企业数字化转型,企业应用经历了从内部服务调用到开放平台的场景需求变化,API也经历了从1.0单体架构到2.0 SO