API安全面临的主要挑战

API安全事件频发，其外因是存在恶意攻击行为。而作为使用API 的企业，在API生态中把API当成基础设施的一部分，却缺少清晰的API 保护方针和策略，无法提供高质量的API安全服务能力，也是导致API 安全事件的原因。了解了这些原因，若想彻底解决API安全问题，仍需要面临多方面的挑战。

1.API广泛使用带来攻击面扩大的挑战

API技术的产生是为了解决不同组件或模块之间的标准化通信交互问题，随着互联网上业务种类的不断增加，出现了以API为中心的API 经济生态。在这个生态系统内，API能力提供者作为平台能力支撑方和运营者，通过API的形式对外开放业务能力，吸引第三方厂商或合作伙伴加入此生态系统。开放的业务能力越多，API暴露的攻击面就越大；参与生态构建的第三方厂商越大，API使用范围越广泛，API暴露的攻击面也就越大。从企业运营者的角度来说，是期望更多的第三方厂商加入生态构建，从风险暴露的角度来说，越收敛则攻击面越小。在这种业务期望快速发展，安全诉求越来越高的背景下，想解决API安全问题，必须综合管理和技术手段，从网络治理、服务治理、API治理、IT治理等角度去寻找业务发展和安全保障的最佳平衡点，尤其是对平台型企业来说，如果内部IT治理水平较低，将面临巨大的挑战。

2.API安全实践经验缺失的挑战

对于使用API技术的企业来说，使用某项技术是为了解决某些问 题，以期望得到更高效的业务能力，但因技术人员对使用某项技术带来 安全风险往往理解不够深刻。尤其是在当前互联网业务竞争十分激烈， 版本更新迭代非常频繁的情况下，应付API功能的开发已经很疲惫，加 上团队内部或企业内部缺少安全经验丰富的人员来对研发过程进行监督 或指导，导致开发出来的API存在安全缺陷。而企业缺少API开发过程中的相关工具、平台以及保障机制，更无法从组织层面指导API安全实 践的开展。

3.外部环境变化带来的合规性挑战

近几年，随着国家层面网络空间治理的不断深入，满足合规性要求 成为每一个企业正常业务开展的必要条件。在我国，国家标准和行业标 准层面，对API使用提出了多方面的安全要求。比如在关于个人信息安 全的国家推荐性标准GB/T 35273-2020《信息安全技术 个人信息安全规 范》中，对于使用API收集个人敏感信息且未单独向个人信息主体征得 收集、使用个人信息的授权同意时有如下要求。

当个人信息控制者与第三方为共同个人信息控制者时（例如，服务 平台与平台上的签约商家），个人信息控制者应通过合同等形式与第三 方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身 第三方应分别承担的责任和义务，并向个人信息主体明确告知。 在规范中，要求API服务提供者在涉及个人信息收集时，需要征得 用户同意并明确确认授权的情况下才可以进行信息采集。而作为被第三 方集成的API服务提供方，如果涉及个人信息收集时，需要双方约定分 别承担的责任和义务，并明确告知用户。除了此规范外，金融行业标准 JR/T 0185-2020《商业银行应用程序接口安全管理规范》中，更是从API 类型与安全设计、开发、部署、集成、运维等生命周期角度，对API的 管理提出多方面的合规性要求。

这些标准或规范为企业的API安全实践提供方向性指引，同时也为 API的合规提供可落地标准。企业完成了此类合规的挑战，才能更好地 开展业务。