API安全左移 堵竊資漏洞
現代化的應用程式多設計於雲端環境運作,運用無伺服器運算、容器技術及微服務架構,以實現擴展性、靈活性與高可用性。主流軟體開發已從單體應用模式轉向基於雲端的應用程式開發,這些應用程式採用微服務架構,透過API介接整合來提供應用服務。然而隨著應用服務發展更趨多元,API數量也持續增加,使得API逐漸成為攻擊者利用來發動攻擊的管道。對此,開放網路應用程式安全計畫(OWASP)組織提出的OWASP API Security Top 10報告,2023年發布第二版,被視為現代化應用服務安全檢測的基礎。
近年來,WAF(網頁應用程式防火牆)、CDN(內容遞送網路)等領域的技術供應商,紛紛基於過往協助應用程式防範外部攻擊的經驗與知識,擴展成為WAAP(Web Application and API Protection)雲端服務方案,除了包含既有WAF技術,更整合DDoS緩解、機器人(Bot)管理、API防護等機制,讓各式數位經濟的應用場景增進安全態勢,避免API被惡意人士利用來竊取機敏資料。