由中國信息通信研究院（以下簡稱“中國信通院”）和中國通信標準化協會聯合主辦的“2023 SecGo云和軟件安全大會”在北京成功召開，會上正式發布《2023API安全發展白皮書》。

在日益嚴峻的API挑戰下，企業需要主動關注API安全問題并開展API安全防護體系建設。

第一步：基于API生命周期構建安全防護模型

對企業而言，想要做好安全管理，全生命周期的API管理很有必要。首先，API是企業的私有化資產，從設計和開發就是在企業內部完成，API問題的產生通常也是由企業自身產生。所以，企業在管理角度上，有必要從開發和設計環節就開始考慮整個API的管理。

其次，API在整個業務生命周期當中變化非常快，API實現邏輯一旦發生變化，很容易引入新的風險。因此，從API全生命周期來考慮API安全，圍繞規劃、開發、測試、部署、運行到下線的每一個環節加強安全建設顯得尤為重要。

第二步：構建基于IPDRR安全架構的API安全管理閉環

在日益嚴峻的網絡安全環境下，API安全建設絕非易事。API全生命周期管理涉及企業各部門角色的參與，投入工作量極大，企業應該根據實際情況來調整投入產出比。而從高效防御的角度出發，企業可以從API的上線運行階段入手，基于IPDRR安全模型實現API安全閉環管理，結合自身的業務情況有序開展API安全實踐。

基于 IPDRR 模型，企業可通過持續識別 API 資產潛在威脅和漏洞、提供安全保護措施、實施實時監測和事件檢測、迅速響應安全事件、以及實施恢復策略和業務持續性計劃，全面保護API的安全性和可靠性，最大化降低甚至避免API風險。

附件：威脅獵人聯合中國信通院發布《API安全發展白皮書（2023）》