本文版權(quán)為《郵電設(shè)計技術(shù)》所有,如需轉(zhuǎn)載請聯(lián)系《郵電設(shè)計技術(shù)》編輯部
摘要:API是數(shù)據(jù)交換的重要途徑,其安全問題不容忽視。從基于API應(yīng)用安全技術(shù)的身份驗證、訪問控制、消息加密及攻擊檢測等幾個方面,深入探討了在軟件開發(fā)環(huán)境下API應(yīng)用安全的實現(xiàn)方式與設(shè)計思路,以保障軟件開發(fā)環(huán)境下API接口的使用安全,從而提升軟件開發(fā)質(zhì)量。
關(guān)鍵詞:軟件開發(fā);API應(yīng)用安全;身份驗證;訪問控制;消息加密;攻擊檢測
doi:10.12045/j.issn.1007-3043.2024.08.008
概述
隨著數(shù)字化轉(zhuǎn)型的持續(xù)推進,軟件在日常生活和商業(yè)活動中所起的作用越來越重要。然而,如今軟件安全事件的頻繁發(fā)生,使得人們對軟件安全性的關(guān)注度不斷提升,對提升軟件安全性的需求不斷增強。軟件安全也由原先的被動防御型安全逐步發(fā)展為當(dāng)前主流的主動防御型安全,即在軟件開發(fā)全生命周期的各階段充分挖掘潛在的安全威脅,通過威脅建模、安全設(shè)計、安全測試等多個角度消減威脅和建立防御措施。這種強調(diào)在軟件開發(fā)的早期階段就考慮和實施安全措施,以確保最終的軟件產(chǎn)品具有較好的安全性的行為被稱為軟件開發(fā)安全前置,或者被稱為安全左移。通過實施安全前置,可以降低后期修復(fù)安全漏洞的成本,并提高系統(tǒng)的整體安全性。美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)曾發(fā)布了一份報告,報告指出,將安全性融入軟件開發(fā)生命周期的早期階段可以將漏洞修復(fù)成本降低到產(chǎn)品發(fā)布后的6~60倍,所以軟件開發(fā)安全中的安全前置越來越受到重視。