近日,开源 API 管理工具的Eoapi 与哈尔滨工业大学(深圳)数据安全研究院发起的开源项目 OpenDLP,联合发布了合作插件——OpenDLP API 安全检查,小小插件能为 API 安全做什么呢?
企业安全关注的事情很多,API 安全目前来讲是一个非常新兴的,但是非常重要的一个热点。软件世界数据通信万物互联的背景下,从我的视角来看,API 是一种新的能够更低成本去让数据打通,让软件集成融为一体,以及在某种程度上甚至能够以一种更好的生产方式,快速完成企业软件交付的一种新模式。大家也已经看到,各行各业的企业都已经在做一些做业务或者做 API 化的战略转型,其实就在 API 里面。
基础设施增长的背后,一定也会带来安全问题。我们讲的黑客攻击,以利益为主导的黑客攻击它无非就是想控制你的资产,或者想偷你的数据,而 API 这两点它是都具备。
一方面,API 本身是暴露在网络上的,相当于软件构建的系统,对网站攻击的手法完全可以应用到 API 的场景里。API 的后端,比如一些 Java 的代码,也是各种各样的系统,这些系统它存在的漏洞,也可以通过 API 打进去,最终导致自己的资产实现。这是传统攻防领域的情况。
最近我们看到一个更严峻的趋势,越来越多的 API 导致了非常严重的数据泄露。数据泄露对企业来讲,尤其是大型企业,以及关系到民生或基础设施的企业,他们一次大范围的数据泄露是非常致命的,可能不仅仅是业务上损失,还会涉及到监管层面。
以前的数据泄露事件,要层层攻击,从外网到内网到数据库打进去,打进去很费劲,最终才能把数据库的数据拖出来。现在不一样了,我们只需要找到一个没有认证授权的 API 数据,随便一个脚本就可以把数据拖出来,这是一个非常简单快速的入侵链路,但是它的杀伤力巨大。现在越来越多企业除了要面对漏洞攻击,还要面对 API 导致的数据泄露。
提高 API 安全性的手段有很多,敏感数据识别扫描就是其中之一。
OpenDLP 是一个开源的敏感数据识别工具,我们可以通过 OpenDLP 服务在 Eoapi 上对文档进行扫描,避免部署/开放带有敏感字段的 API 文档。
如何使用 OpenDLP 插件
Docker 部署 OpenDLP 服务:Docker push longice/opendlp-eoapi:1.0.0
在 Eoapi 【插件广场】-【所有】-【OpenDLP】中找到 OpenDLP 插件一键安装
在 Eoapi 【插件广场】-【所有】-【OpenDLP】中输入 OpenDLP 服务地址,保存。
此时,在 API 详情页点击【扫描 API 敏感词】。
显示当前文档敏感词扫描结果:
目前内置支持 17 类敏感数据类型,可以通过自定义正则支持更多类型的识别。对于有地区和语言差异的类型,目前都是支持中国大陆地区、简体中文。具体敏感数据类型如下:
关于 Eoapi
Eoapi 是一款类 Postman 的开源 API 管理工具,它更轻量,同时可拓展。
支持基础的 API 文档和测试功能,还可以通过插件帮助你将 API 发布到各个应用平台,比如发布到网关完成 API 上线,或者和低代码平台结合,将 API 快速变成可使用的组件等。
Eolink 在 2022 年开源了 Eoapi 项目,Eoapi 建立在 Eolink 多年以来在 API 全生命周期领域的行业经验基础之上,同时希望通过开源吸收社区中最棒的想法和实践。
Github 项目:
https://github.com/eolinker/eoapi
Gitee 项目:
https://gitee.com/eolink_admin/eoapi
Demo:
http://www.eoapi.io/?utm_source=al&utm_campaign=gf&utm_content=cj02
Eoapi 将继续与其他厂家一起努力开发更多的插件,共建 Eoapi 的插件生态,让我们的用户能够通过插件,为自己搭建趁手的工具,让插件的价值实现最大化。
关于 OpenDLP
OpenDLP 开源项目由哈尔滨工业大学(深圳)数据安全研究院发起。哈尔滨工业大学(深圳)数据安全研究院致力打造新型研究与产业孵化平台,逐步孵化一批具有行业示范性的网络与数据安全高新技术企业,为国家数字化建设和网络强国建设提供有力保障。
OpenDLP 是一个敏感数据识别工具,使用正则表达式、人工智能算法、数据校验规则等多种技术对结构化数据表和 JSON 之类的半结构化数据进行字段级敏感数据识别,可以帮助企业和组织进行数据资产分类分级,保障数据安全。
正则表达式是敏感数据识别的常用技术手段,OpenDLP 的正则表达式智能生成功能能够基于提供的正、负训练样本数据,自动学习生成正则表达式,帮助提高正则表达式编写效率。
Github 项目:
