Api security Checklist


Use machine formats for documentation



Yüklə 2,4 Mb.
Pdf görüntüsü
səhifə2/26
tarix09.10.2023
ölçüsü2,4 Mb.
#153419
1   2   3   4   5   6   7   8   9   ...   26
API security

 Use machine formats for documentation: 
when generating API 
documentation, opt for machine formats and schema definitions as opposed 
to traditional documentation or visual diagrams. Most commonly for REST 
APIs, these machine formats include Swagger or OAS. Depending on your 
API design, development or publishing tooling, other formats like RAML or 
API Blueprint may be present. And if you are exploring GraphQL APIs, then 
also expect to work with GraphQL schema definitions. Traditional 
documentation can be useful for reviews by a less technical audience, but 
such forms of documentation are not easily maintained. The API schema 
definition formats are designed for quick generation of documentation as 
Salt I API Security Best Practices I 4 


 part of API design and mocking that is also reusable for testing, integration, 
publishing, and operations. 
2. 
 Use API schema validators but acknowledge limitations: 
API schema 
validators can find common issues related to formatting or overlooked 
parameters, but they are not a panacea. View them as a type of static 
analysis, much like linters or quality checkers within IDEs. Schema validators 
are inherent in tools like Postman and API management APIM platforms 
like Apigee, but they can’t find all types of API issues, let alone security 
issues or logic flaws. Organizations may also opt to trigger schema 
validation as part of secure build pipelines. These validation tools are only 
as good as what you document as part of API design and development. 
Inevitably, you may be lacking schema definitions as your API ecosystem 
expands to include partner integrations, external API dependencies, and 
third-party SaaS services. 
3. 
 Prepare for documentation discrepancies and API drift: 
organizations of 
all sizes and across verticals regularly face difficulties with scaling and 
operationalizing API design, development and publication. API drift is a type 
of environment drift where the current state of APIs in production does not 
match what is expected or documented. It is an inevitability with 
development turnover, outsourcing, and acquisition. Even if your 
organization is able to obtain API documentation and schema definitions, 
they may not be complete. It is possible to publish an API absent any 
schema definition, and not all API parameters need to be defined. API teams 
may also document an API fully at the initial launch but then fail to keep up 
with versions over time due to conflicting work priorities. The only way to 
address this gap is to monitor your environments and API traffic in runtime 
or seek tooling that can auto-discover APIs, auto-generate schema 
definitions, and produce an API inventory. 
API discovery and cataloging 
The top 3 recommendations for API discovery and cataloging include: 
1. Discover APIs in lower environments and not just production 
2. Include API dependencies, aka third-party APIs 
3. Tag and label APIs and microservices as a DevOps best practice 
Automated discovery of API endpoints, parameters and data types is crucial for all 
organizations since APIs are the primary mechanism for powering business logic 
and data exchange. API documentation, while a best practice in itself, may not be 
done consistently. Documentation may be absent entirely or out of date. Adequate 
Salt I API Security Best Practices I 5 


 API schema definitions may not be available 
to you as a result of siloed development and 
security efforts. Or third parties may not 
make them available to you. Your 
organization’s API catalog is much more than 
the APIs mediated by API management and 
API gateways since APIs may be built, 
acquired, or integrated outside of formal 
process. An accurate API inventory is critical 
to many aspects of IT within the 
organization. Compliance, risk, and privacy 
teams will require API inventory, particularly 
as they must answer to regulatory bodies. 
Security teams also need API inventory so 
that they can have a realistic view of their 
attack surface and risk posture to help 
prioritize the wide range of API security 
activities that must be accounted for. 
Best practices for API discovery and cataloging include: 
1. 

Yüklə 2,4 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   26




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin