传统补丁与漏洞管理工具不能保护API

尽管补丁和漏洞管理程序能够帮助安全团队应对现成软件和组件的安全风险，但应用和API安全策略需要的不止这些。

可惜，因为急于避免沦为99%的已知漏洞的受害者，企业将大量精力放在了补丁和漏洞管理上。已发布软件或硬件中定义明确的漏洞往往通过通用漏洞与暴露(CVE)分类法来跟踪记录。然而，这一分类法根本无法捕获企业在构建或集成应用与API时可能引入的各种潜在漏洞与弱点。

攻击者有时会以软件中众所周知的漏洞为目标，例如最近的Exchange服务器黑客攻击事件。不过，更为普遍的情况是，攻击者寻找目标企业特有的API或API集成中的漏洞。企业创建或集成的代码可没有“补丁”供安全工程师用来缝合应用与API。

通用缺陷列表(CWE)ID是更适合描述自主开发的应用与API中缺陷的分类法。如果企业自行开发代码或集成其他代码，那么安全人员应该很熟悉CWE和OWASP Top 10。这些都是更为相关的分类法，更适合自行构建应用或API而不是从使用CVE ID的其他地方采购的情况。

cwe.mitre.org表示，CWE可帮助开发人员和安全从业者做到以下事项：

• 以通用语言描述和讨论软件及硬件缺陷。
• 检查现有软件及硬件产品中的缺陷。
• 评估针对这些缺陷的工具的覆盖率。
• 利用通用基准执行缺陷识别、缓解和预防。
• 在部署前防止软件及硬件漏洞。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!