На anti-malware.ru опубликована новая статья Юрия Шабалина, ведущего архитектора Swordfish Security, на тему API в контексте информационной безопасности: главные проблемы и риски.
Интерфейсы прикладного программирования (Application Programming Interface, API) используются в современных приложениях и позволяют наладить взаимодействие между разными продуктами, открывая множественные возможности для интеграции. Но также API имеют и недостатки, которые вырастают в серьёзные проблемы и риски для безопасности.
Современное приложение сейчас уже невозможно представить в виде цельного монолита, как это было чуть больше двадцати лет назад. Конкуренция на рынке программного обеспечения приводит к повышению требований как по скорости разработки, так и по характеристикам продукта — темпу работы, устойчивости, широте функциональности, в том числе в области интеграции со сторонними системами. Также непрерывно растут сложность используемых сервисов и значимость обмена данными между несвязанными продуктами. Всё это привело к тому, что появился и активно развивается новый подход к построению систем, который базируется на микросервисной архитектуре и использует API (Application Programming Interface, дословно — интерфейс прикладного программирования). Сегодня API так или иначе применяются практически в каждом приложении и, более того, во многих физических устройствах. Это предоставляет дополнительные возможности как разработчикам, так и энтузиастам, которые хотят, например, автоматизировать домашние системы. Подход получил широкое распространение, что ещё сильнее подстёгивает специалистов развивать его. С учётом масштабности и популярности этой технологии мы рассмотрим особенности разработки и внедрения API с точки зрения информационной безопасности и оценим тенденции развития этого подхода в будущем.
Статья: https://www.anti-malware.ru/analytics/Technology_Analysis/API-in-information-security-context
