行业新闻与博客

对 API 的日益依赖引发了安全担忧，几乎所有组织（99%）在过去一年中都报告了与 API 相关的安全问题。

根据 Salt Security 的《2025 年第一季度 API 安全状况报告》，受云迁移、平台集成和数据货币化推动，API 生态系统的快速扩张正在超越安全措施，并使组织面临更大的风险。

API 增长和安全漏洞

该报告于 2 月 26 日发布，强调了 API 的显著增长，其中 30% 的组织在过去一年中 API 增长了 51-100%，25% 的组织报告 API 增长超过 100%。

这种扩张给维护准确的 API 清单带来了挑战，因为 58% 的组织很少每天监控其 API，并且对清单的准确性缺乏信心。只有 20% 的组织实现了实时监控，这使得大多数组织容易受到安全威胁。

主要的 API 安全挑战包括：

• 37% 的安全问题源于配置错误和对象级授权失效等漏洞

• 34% 涉及敏感数据泄露

• 29% 与身份验证失败有关，凸显了访问控制薄弱

Black Duck 首席顾问 Thomas Richards 表示：“组织面临的挑战是正确编目所有 API，以便将它们纳入适当的安全测试和意识计划。该技术可以改善工作流程并使组织受益，但我们不能忘记网络安全的基本原则，即记录、测试和验证最佳实践，以便安全地进行创新并管理软件风险。”

尽管投资不断增加，但安全漏洞仍然存在。超过一半的组织增加了 API 安全预算，但 30% 的组织认为资金有限是主要挑战。

此外，22％的企业面临人员短缺的问题，10％的企业缺乏适当的安全工具。

许多组织 (55%) 因 API 安全问题而推迟了应用程序的推出，而 14% 的组织发现他们的 API 程序难以管理。

Pathlock 首席执行官 Piyush Pandey 解释道：“由于 API 攻击最常见的原因是未经授权或不当使用访问凭证，因此现代安全需要的访问控制远远超出传统的基于边界的身份访问和身份验证策略。动态、敏捷的访问控制从合规配置开始，继续进行高风险访问监控，最后进行关键应用程序基础设施健康维护 [至关重要]。”

攻击趋势和新兴风险

对 API 攻击模式的分析显示，95% 的攻击源自经过身份验证的用户，这凸显了账户被盗的风险。面向外部的 API 仍然是主要的攻击媒介，98% 的攻击尝试都针对这些接口。最常被利用的漏洞包括：

• 安全配置错误（54%）

• 对象级授权失效（27%）

• API 身份验证失败 (1%)

生成式人工智能 (GenAI) 也在重塑安全格局，带来新的威胁和担忧。三分之一的受访者表示对检测人工智能驱动的攻击缺乏信心，而 31% 的受访者担心人工智能生成的代码的安全性。组织通过实施治理框架 (26%) 和特定于人工智能的安全工具 (37%) 来应对。

加强 API 安全性

该报告敦促各组织采取主动的安全策略，强调实时监控、强大的态势治理以及遵守 OWASP API 安全十大框架。加强 API 库存管理和对 AI 驱动的安全工具的投资对于缓解新兴风险也至关重要。

“API 采用的主要驱动力是复杂系统之间松散耦合的需求，”Sectigo 高级研究员 Jason Soroko 解释道。“API 是抽象层，可以解耦底层复杂性，实现快速集成和开发，从而推动数字化转型。[然而]，随着组织越来越依赖 API，快速扩展的速度往往超过了安全措施的速度。”

为了保持领先地位，Soroko 建议“云平台和其他 API 提供商需要提供安全诊断，以便更轻松地快速部署和维护具有安全配置的 API。”

随着 API 使用量的持续激增，组织必须优先考虑随着其不断扩大的生态系统而发展的安全策略，以保护敏感数据和基础设施免受新出现的威胁。