随着模块化和微服务开发模式的广泛采用，API（应用程序编程接口）已经成为现代应用软件构建过程中不可或缺的关键技术手段。API的应用场景正在不断扩展：从传统的Web服务到移动应用、物联网设备和各种云服务，API都扮演着至关重要的角色。然而，随着API的广泛应用，API自身的安全缺陷、不安全的协议框架、开发缺陷和漏洞，都随着服务的广泛调用广泛暴露到了互联网上，这不仅使应用程序和Web应用面临严重的安全威胁，还极大地增加了业务系统和数据的暴露面，为非法分子提供了可乘之机，给企业网络和业务系统安全埋入了不同程度的安全隐患。

为帮助用户更好地开展API安全规划和安全建设，并提供有效的API安全框架、产品方案、厂商选择建议，安全牛启动了《API安全技术应用指南（2024版）》报告（以下简称“报告”）研究工作。报告基于调研对API的安全风险进行识别，从开发、上线到运营等方面对API的安全能力建设提出建议；同时，对厂商的API安全产品或解决方案进行能力评估，并对该领域的年度代表性厂商进行能力评价、方案推荐和落地应用案例展示。

12月6日，《API安全技术应用指南（2024版）》报告正式发布。

关键发现

• 当前企业对API漏洞利用、数据安全问题最为敏感。但大多数用户认为其对企业的影响程度为中低水平，API风险影响还相对有限。反映企业对 API 风险有一定认识，都重视程度还不高。
• 企业在通常会遭受多种类型的API攻击，而敏感数据、身份验证是最容易遭受到攻击的两个薄弱环节。
• 几乎所有类型API安全产品都在API资产识别功能中提供数据资产识别及数据分类标识功能。这预示着，API安全将有可能成为数据流转合规的一项标准化管理手段。
• 在API安全建设中，检测、监测和防护类产品均有涉及，并且半数以上企业采用了两种类型以上的工具。其中，API网关和API安全监测平台被认为是最有效的两个产品类型。
• API安全建设方面，大多数企业的API安全建设并未提到日程上，观望者较多，整体预算偏于保守。
• API作为一个新兴赛道，厂商参与度较高，这些能力提供者源自多个传统领域。其中，应用安全和业务安全厂商最多（占比35%）；数据安全和网络安全厂商次之（各占18%）；同时，专注于该赛道的新兴厂商也较多（占比30%）。从API安全方案类型看，主要有访问控制网关类、风险监测防护类和数据流转管控类三种典型类型。其中，提供风险监测类方案的厂商最多。
• 目前阶段，尽管市场上API安全方案不断推陈出新，但API安全的应用模式仍处于探索阶段。识别、检测、防护风险等核心能力存在不同程度的技术挑战，风险处置的自动化能力尚显不足。
• 从技术演进的视角来看，报告认为，零信任、人工智能、大数据，以及云计算四类新兴技术将能有效赋能API安全，在提升API风险检测精准度、覆盖度和自动化防护处置能力方面提供显著助力。

API安全治理理念与系统框架

在API面临复杂安全挑战的背景下，安全牛认为，API安全理念应从API安全防护向API安全治理演进，遵循应用软件安全管理原则，覆盖API从生产到使命结束的全生命周期。

具体来说，API安全是指API在生产、部署、运营阶段所实施的一系列安全管理活动，包括规范API的使用行为，实施安全运行策略，采取风险监测、防护、响应等风险闭环措施。其目标是减少应用系统构建过程中形成的API攻击面，保护API协议、结构免受外部攻击，保障API承载的数据、应用和业务安全运行。                                 

为给API安全建设提供指导，报告从安全治理的视角，遵循“安全左移 持续运营”和“体系化建设”的原则，围绕开发、运行和运营三个环节进行API全生命周期安全能力构建。API安全框架以安全运营为目标，以事前、事中、事后的响应处置为手段实现API全生命周期的风险闭环管理。

为从根本上缓解API的安全隐患和数据调用风险，实现全面API安全治理。API风险监测要与开发系统、运行系统、防护系统之间建立有效的问题反馈通道和协同机制，通过安全运营能力分别应对API运营中的合规类缺陷、攻击风险、漏洞缺陷，实现API安全持续运营。比如，将合规缺失的策略应用转到访问控制系统，将API风险纳入风险防护体系，将漏洞利用问题回归到开发侧验证和修复。

API安全建设基本原则

API是随着网络安全建设不断完善和攻防对抗技术的进一步增强，逐步暴露出来的一个新安全建设盲区。绝大多数企业对API安全建设都缺少经验。结合安全牛的API安全治理框架， 报告提出了API安全建设的4项基本原则。

方案和产品选择建议

目前，市场上API安全方案的类型多样化，用户在选择API安全方案时，需要结合企业的安全需求和具体业务特点选择适合的方案。

为方便识别厂商能力和方案特点，报告结合厂商调研将本次调研过的厂商方案分为三类：访问控制网关类、风险监测类和数据流转管控类。建议参考报告中各类型方案的特点、适用场景及代表性厂商进行选择。

API安全供应商选择方面，安全牛建议结合厂商的综合能力和技术细分能力进行评估。

我国API安全代表性厂商

本次调研中有19家厂商申报，并根据API安全评估规则最终筛选了10家国内代表性厂商进行了能力介绍和综合评价。这10家厂商分别是：瑞数信息、奇安信、梆梆安全、绿盟科技、美创科技、闪捷信息、芯盾时代、安胜华信、喜数科技、安天。