API 安全

API 安全指的是采取措施保护和保护 Web 应用程序编程接口（API）免受未经授权的访问、滥用和攻击。 API 是现代应用程序开发的关键组成部分，因为它们允许应用程序相互交互和交换数据。 然而，这也使它们容易受到攻击者的青睐，如果保护不当，容易受到安全威胁的侵害。 在本节中，我们将讨论可用于确保应用程序中 Web API 安全的 GitLab 功能。 所讨论的一些功能是特定于 Web API 的，而其他则是更通用的解决方案，也用于 Web API 应用程序。

• SAST 通过分析应用程序的代码库来识别漏洞。
• 依赖扫描 检查项目的第三方依赖项是否存在已知漏洞（例如 CVE）。
• 容器扫描 分析容器镜像以识别已知的操作系统包漏洞和已安装的语言依赖项。
• API 发现 检查包含 REST API 的应用程序，并推断该 API 的 OpenAPI 规范。OpenAPI 规范文档被其他 GitLab 安全工具使用。
• API 安全测试分析器 对 Web API 执行动态分析安全测试。它可以识别应用程序中的各种安全漏洞，包括 OWASP Top 10。
• API 模糊测试 对 Web API 执行模糊测试。模糊测试查找应用程序中先前未知的且不映射到经典漏洞类型（如 SQL 注入）的问题。