APIをどれだけ知っていますか?十分ではない、とシスコは言います

多くのAPIはオンラインでオープンにアクセスできます。つまり、アプリの大部分もオンラインでアクセスできます。 CiscoのVijoyPandeyには、企業がAPIを可視化するのに役立つツールとヒントがあります。

“href =” https://www.techrepublic.com/a/hub/i/r/2021/12/03/ 4eae992da969-4dff-ba62-bfd494e3d7ba / resize /770NS/144204c1f3277bc194159e 5569ccf817/シャッターストック-1975240874。jpg “target =” _ blank “>shutterstock-1975240874.jpg

画像:Shutterstock / Den Rise

アプリ開発の世界にはわずかな問題があります。最新のソフトウェアの動作の非常に基本的なものです。アプリケーションプログラミングインターフェイス(API)の必要性と、セキュリティのブラックホールとしての恐ろしい評判との間の断絶です。

これは新しい問題ではありません— APIが問題であったことは以前からわかっていましたが、現在は91エンタープライズプロフェッショナルの%は、2020。

APIは組織が使用する最も価値のあるデータの一部を取得し、要求に応じてそのデータをAPIを使用して別のアプリケーションに送信し、アプリが理解してユーザーに返すことができる方法でそのデータをデコードします。ソーシャルメディアアプリについて考えてみてください。そのデータは携帯電話に魔法のように表示されるだけでなく、フィードを構成するデータを取得してTwitterアプリに送信するTwitterAPIです。

問題は次のとおりです。APIは必然的に公開されています。アプリ開発者に依存しているすべての大企業は、社内外を問わず、非常に機密性の高い情報を取得できるAPIを利用できます。

したがって、APIを多用するアプリは、コードの大部分をオンラインで公開したままにしていると、クラウドおよび分散システムのCiscoVPであるVijoyPandey氏は述べています。

“パブリッククラウド、SaaSプロバイダー、SalesforceからAPIを取得している場合や、Javaアプリなどのモノリシック環境で作成したオンプレミスAPIを使用している場合があります。または、それらを使用している場合もあります。マイクロサービスとして、またはサーバーレスで実行します。方法は関係ありませんが、APIを使用しているため、アプリケーションは実際に広く開かれたインターネット上にあります」とPandey氏は述べています。

シスコのソリューション:APIClarity

シスコは、APIClarityと呼ばれる新しいオープンソースソフトウェアツールを導入し、Pandeyが「 APIの可視性を取り巻く多くの問題」。

「多くの人は、APIが何であるか、またはAPIが開発者によってどのように使用されているかさえ知りません。どのAPIが文書化されておらず、減価償却されてまだ使用されているか、そして多くの開発者も知りません。時間をかけて独自のAPIを文書化したり、APIのドリフトを考慮して文書を更新したりしないでください」とPandey氏は述べています。

APIClarityの目標は、APIの可視性の問題に伴うセキュリティリスクを排除することです。これは、APIトラフィックをリッスンし、収集したデータを使用してOpenAPI仕様を作成することで実現します。 Pandey氏によると、これはステップ1にすぎません。

「OpenAPI仕様を取得すると、APIが実際に送信しているものと、本来の目的を確認できます。整数を渡すことを意図したとします。 、しかし時間の経過とともに人々はフロップを送信し始めました。またはあなたは2つの引数を意図しましたが、時間の経過とともに人々は3つまたは4つを渡し始め、API仕様は更新されていません。これらは明らかな攻撃ベクトルです」とPandey氏は述べています。

Pandeyはまた、APIClarity仕様がAPIの浸透とファジングテストを可能にし、開発者とセキュリティチームを同じページに置くことを指摘し、シスコがパイプラインに「APIClarityをさらに活用する他のプロジェクトがある」とほのめかしました。ユーザーに追加機能を提供するため。」

APIClarityはオープンソースであり、GitHubで利用できます。また、Pandeyは、クラウドネイティブ環境に摩擦なくインストールできるように設計されていると述べています。彼は、シスコがユーザーに別のエージェントをインストールするように指示する必要をなくすために開発したランタイムツールとして説明しています。 「私たちは最終的に、環境全体のAPIトラフィックの可視性をカバーしようとしています。APIClarityは、これを行うこの種の最初のツールです」とPandey氏は述べています。

APIのベストプラクティス

APIClarityなどのツールを使用してAPIの穴を特定し、サニタイズするだけでは不十分です。 Pandeyは、開発者とセキュリティチームの両方が、APIセキュリティの最新情報を入手し、ベストプラクティスを確保するためにできることはたくさんあると述べました。

まず、Pandeyには、APIと別のソースからプルされた他のアプリケーションコードは安全です。

  • 定期的に見てくださいOWASPからのセキュリティニュース。 APIの脆弱性のリストとそれに関連するニュースを頻繁に公開しています。
  • ソフトウェアをサプライチェーンを持つ他のものと同じように扱い始め、ソフトウェアの部品表がすべての要素を信頼できるソースまでさかのぼることを確認します。

  • APIの稼働時間、ホスティング場所、および一般的な業界の評判を見てください。これらはすべて、APIが信頼できて安全であるかどうかについての良い基準です。

方法はこれらのプラクティスを実装するために、Pandeyは、これらすべてを結び付けるソフトウェアソリューションを探すことをお勧めします。さらに、クラウドプロバイダーのネイティブサービスをできるだけ少なくし、代わりにマネージドサービスのみを使用することをお勧めします。

“コンテナ管理などが必要な場合は、Kubernetesまたはその他のオープンソース製品を使用しますが、サイトの信頼性やその他のマネージドサービスをクラウドにオフロードします。提供されるサービスが多いほど、ロックが強化されます。あなたの中にいる」と語った。

ネイティブサービスを使い続ける場合は、サインアップ時に、将来のアクセスや移行可能性など、適切な質問をするようにしてください。

APIClarityをAPIのベストプラクティスに統合することを開始したい場合は、上記のGitHubリンクからダウンロードできます。詳細については、Cloud Native ComputingFoundationのこのAPIClarityウェビナーをご覧ください。

Developer Essentials Newsletter

最も人気のあるプログラミング言語から最高の給与の仕事、あなたが知る必要がある開発者のニュースとヒントを入手してください。毎週

今日サインアップする

Related Articles

Back to top button