近日,开源 API 管理工具的 Eoapi 与哈尔滨工业大学(深圳)数据安全研究院发起的开源项目 OpenDLP,联合发布了合作插件—— OpenDLP API 安全检查,小小插件能为 API 安全做什么呢?企业安全关注的事情很多,API 安全目前来讲是一个非常新兴的,但是非常重要的一个热点。软件世界数据通信万物互联的背景下,从我的视角来看,API 是一种新的能够更低成本去让数据打通,让软件集成融为一体,以及在某种程度上甚至能够以一种更好的生产方式,快速完成企业软件交付的一种新模式。大家也已经看到,各行各业的企业都已经在做一些做业务或者做 API 化的战略转型,其实就在 API 里面。 基础设施增长的背后,一定也会带来安全问题。我们讲的黑客攻击,以利益为主导的黑客攻击它无非就是想控制你的资产,或者想偷你的数据,而 API 这两点它是都具备。 一方面,API 本身是暴露在网络上的,相当于软件构建的系统,对网站攻击的手法完全可以应用到 API 的场景里。API 的后端,比如一些 Java 的代码,也是各种各样的系统,这些系统它存在的漏洞,也可以通过 API 打进去,最终导致自己的资产实现。这是传统攻防领域的情况。 最近我们看到一个更严峻的趋势,越来越多的 API 导致了非常严重的数据泄露。数据泄露对企业来讲,尤其是大型企业,以及关系到民生或基础设施的企业,他们一次大范围的数据泄露是非常致命的,可能不仅仅是业务上损失,还会涉及到监管层面。 以前的数据泄露事件,要层层攻击,从外网到内网到数据库打进去,打进去很费劲,最终才能把数据库的数据拖出来。现在不一样了,我们只需要找到一个没有认证授权的 API 数据,随便一个脚本就可以把数据拖出来,这是一个非常简单快速的入侵链路,但是它的杀伤力巨大。现在越来越多企业除了要面对漏洞攻击,还要面对 API 导致的数据泄露。 提高 API 安全性的手段有很多,敏感数据识别扫描就是其中之一。 OpenDLP 是一个开源的敏感数据识别工具,我们可以通过 OpenDLP 服务在 Eoapi 上对文档进行扫描,避免部署/开放带有敏感字段的 API 文档。
关于 Eoapi
Eoapi 是一款类 Postman 的 开源 API 管理工具,它更轻量,同时可拓展。 支持基础的 API 文档和测试功能,还可以通过插件帮助你将 API 发布到各个应用平台,比如发布到网关完成 API 上线,或者和低代码平台结合,将 API 快速变成可使用的组件等。 Eolink 在 2022 年开源了 Eoapi 项目,Eoapi 建立在 Eolink 多年以来在 API 全生命周期领域的行业经验基础之上,同时希望通过开源吸收社区中最棒的想法和实践。 Github 项目: https://github.com/eolinker/eoapi Gitee 项目: https://gitee.com/eolink_admin/eoapiDemo:
http://www.eoapi.io/?utm_source=os&utm_campaign=gf&utm_content=cj02
Eoapi 将继续与其他厂家一起努力开发更多的插件,共建 Eoapi 的插件生态,让我们的用户能够通过插件,为自己搭建趁手的工具,让插件的价值实现最大化。
还没有评论,来说两句吧...