API 使用在大多数组织中上升，但大量使用未得到文档记录 媒体

• 2025-11-13 17:31:36

API 安全性调查报告：大多数企业未做好防护准备

文章重点

Radware 在最近的一份报告中表示，92 的受访组织显示其 API 使用量明显或有所增加，其中 59 的组织已经将大部分应用程式运行在云端中。

然而，尽管有 92 的受访者认为他们为 API 提供了足够的保护，以及 70 认为他们能够查看处理敏感数据的应用，但 62 的人承认有三分之一或更多的 API 是未记录的。这些未记录的 API 使得组织在面对网路威胁时变得非常脆弱，包括数据库暴露、数据泄漏和抓取攻击等问题。

“这造成了保护上的重大缺口，使得 API 更加暴露和脆弱，”Radware 应用安全与交付的资深主任 Prakash Sinha 表示。“快速的云端转型问题愈加严重，因为大多数云原生应用都是通过 API 建立的，并可以在网路上访问，未保护的 API 将导致数据泄漏。对那些未记录且未安全的 API，恶意威胁的可能性和损害将会更大。”

Salt Security 副总裁 Michelle McLean 表示，云原生设计依赖于新的技术堆叠，如容器、Kubernetes 和服务网格，因此 API 的开发、整合和使用变得必不可少，最终产生了更大的攻击面。除了云端的复杂性外，McLean 还表示，云端还增加了某些资产的暴露，这一点比传统的数据中心环境更难以理解。

“因此，API 攻击的数量和严重性显著上升，95 的组织经历过 API 事件，”McLean 指出。“这项研究强调了 API 安全性在优先事项上极大地被低估，现在是时候提升重视程度并整合足够的解决方案，因为旧有的工具已经无法满足需求。”

StackHawk 的共同创始人兼首席安全官 Scott Gerlach 也提到，随著工作负载越来越多地分布在不同的云端上，开发团队转向 API 驱动的架构，了解每个端点的情况已成为安全的重要部分。他指出，Bumble 和 Coinbase 最近发生的 API 事件仅是这一问题重要性的两个例子。

“记录 API 是改善组织安全姿态的良好第一步，这为安全和开发团队的合作提供了机会，”Gerlach 表示。“现代安全测试工具可以读取这些文档，确保每次开发人员提交代码时都对 API 进行全面的安全测试，以增强组织的防护。”