RSA2019观察： 应用安全趋势与解析 —— DevOPS与API安全

随着云大物移的发展，应用的形态与需求正在经历变革，笔者认为接下来应用安全的趋势在于一技一道， 技术发展持续的围绕API理念创新， 方案、产品及服务的设计理论继续逐步迈向DevOPS，接下来行文一篇，愚做以解析。

网络的第一性原理应是为连接二字，网站是伴随着互联网的出现而出现，作为连接自然人与虚拟世界的桥梁。而当下，这座桥梁的概念不再局限于Web，它迅速的增加了车联网应用、物联网应用以及移动应用。当下信息化的浪潮与科技的进步都对企业提出了更多的业务需求，而无论是劳动就业人口的下降还是从业人员的薪资上涨，都在导致当前 程序员 的比例无法去匹配近乎爆炸的需求。因而，利用好DevOPS的理念，打破部门墙，通过自动化提升效能，以及利用API 发布，最小化迭代与复用，将会成为未来应用开发的主流趋势。

而对于为客户提供应用安全的厂商来说，则应看到另一个重要问题，DevOPS目标在于引导公司相关流程变革为可重复性与自动化，虽然当下已有众多最佳实践可以选择，但安全却直接将这条链断开，推回起点。 这里引用Tinfoil Security CEO的一页PPT，可以更详细的看到这个问题的产生，不同部门目标的不匹配，导致在合作中，产生互相牵扯的反作用力。

因而，笔者认为在未来为客户带来价值的厂商，一定要将应用安全的产品与方案与客户DevOps平台进行适配，融入整个研发体系之中。

另外一个API也不能幸免， 由于API高内聚、低耦合的特性，既降低了程序员、团队以及公司间的交流沟通成本，又可以快速迭代，更新或重建业务。 引用Akamai的数据，当前在公有云的流量中，83%的流量是API请求，1/3 来自于web浏览器，另外的2/3 可能就来自我们的家庭电视与智能冰箱中。

2018年，绿盟科技在应对API 绕过、注入以及跨站等的攻击层出不穷，更有甚者，在2018年底至今，绿盟科技WEB防火墙设备已成功解决了国内外多起利用API进行大规模应用层DDoS攻击的事件，这一显著的变化，让绿盟科技的研发团队开始关注API安全，评估当前产品的防护能力在新形态下对客户的保障程度。 整体而言，API便利的同时伴随着脆弱，针对API的攻击之所以成为主流，是因为API与传统的WEB网站相比，攻击面没有减少。而与此同时，新增的API往往就代表着新的业务上线，而新业务的可攻击点会与在开发阶段对安全的重视程度成直接反比，同时API简单的特性，让部分API的授权形同虚设，攻击者可以非常方便的进行攻击调试，花费更少的时间和代价得到成功。因而，后续API安全的防护能力，应该具备对于API的授权管理、调用监控等功能。

云大物移时代下，企业的业务正在经历变革，RSAC也敏锐的观察到了这一点，应用安全领域2019年几乎每一个主题都伴随着业务的形态变化，而这里笔者认为，安全公司要做好应用安全的保障，相关产品体系的战略目标就应该围绕着DevOps及API进行设计，从而实现共赢。