API安全已經成為企業組織的一個關鍵性業務發展問題，而非僅僅是信息安全的問題。而一個設計良好的API治理框架，不僅可以幫助企業建立起完整的開發、部署和管理API的指導方針和應用規則，同時也為企業API開發提供了一種結構化的方法。有效的API治理還有助于企業識別和減輕與API相關的風險，例如安全漏洞、合規問題和性能問題。通過實現API治理最佳實踐，組織可以優化他們的API應用組合，改善團隊之間的協作，并增加從API投資中獲得回報。

圖：API安全治理框架體系

研究人員認為，一個完善的API治理框架，應該全面涵蓋其安全性、技術管理、利用率、監控、標準管理、性能管理以及合規管理等多個方面。本文將對這些關鍵組成部分進行分析，并給出治理策略建議。

1、API安全性

API安全性是API治理的關鍵組件，主要保護API免受的違規訪問、濫用和其他安全風險的威脅。為了確保API的安全性，企業需要采取多種措施：

OWASP測試是一個標準化的安全測試過程，旨在識別API中潛在的安全漏洞。它需要各種安全測試技術的支撐，例如注入攻擊、跨站點腳本和訪問控制問題等等；

滲透測試是另一種用于識別API中潛在安全漏洞的技術。它涉及對API的模擬攻擊，以識別可能被攻擊者利用的潛在弱點；

API使用監控是指檢測API使用中不尋常或不自然模式的過程。這種監控可以幫助識別潛在的安全威脅，防止API的誤用和濫用；

代碼審查也是API安全性的一個重要方面。通過徹底檢查API代碼，開發人員可以識別潛在的安全缺陷和漏洞，并在它們成為威脅之前解決它們；

身份驗證和授權機制對于保護API的安全性也至關重要。這些機制確保只有被合法授權的用戶才能訪問所有API中被授權的資源。此外，API端點的設計必須區分用戶和管理員，以防止未經授權的訪問；

實現強大的安全措施對于確保API的安全性和完整性至關重要。通過實施這些措施，組織可以保護API免受潛在的安全威脅，并確保API服務安全可靠地交付給用戶。

2、API技術管理

API技術是API治理中的重要組成部分，它包括為API開發選擇和管理適當的技術堆棧。為了確保技術的有效使用，企業需要對現有API開發技術進行記錄備案，不斷引入新技術并淘汰過時技術，同時促進新技術的落地應用。

對現有API開發技術進行記錄備案，可以讓組織對用于API開發和管理的技術有一個清晰的理解。這些信息可以幫助識別技術堆棧中的潛在安全防護缺口、重疊和冗余。

引入新技術是API技術發展的另一個重要方面。它可以確保技術堆棧保持最新狀態，并與最新的行業標準和最佳實踐保持一致。此外，檢查Gartner等研究機構發布的魔力象限可以幫助組織識別新興技術，并評估其對API開發和管理的適用性。在評估當前技術堆棧的有效性時，識別生產事故并為其貼上技術標簽也是至關重要的。它有助于識別需要改進的領域，并識別無法滿足業務需求的舊技術。

3、API利用

API利用也是API治理框架的一個關鍵組成部分，它主要指監控和優化API的使用，以確保其價值和應用效率的最大化。為了實現這一點，企業需要采取一些措施，主要包括：

• 在管理端集中使用API，這樣可以讓組織清楚地了解各種應用程序和服務之間的API使用情況，識別潛在的性能瓶頸以及需要優化的領域；
• 撤銷或合并未使用的API，確保這些API不會消耗不必要的資源，并降低API生態系統的整體復雜性；
• 要確保使用率高的API能夠得到及時擴展和優化。通過識別利用率高的API，組織可以優化其性能，增加可擴展性，并改善整體用戶體驗；
• 公開API目錄，這樣開發人員更容易發現和重用現有API，而非構建新的API，這不僅節省了時間和資源，還能夠提高API應用的一致性，降低了API生態系統的整體復雜性；
• 最后，計算API成本并實施成本優化也至關重要。通過確定運行時成本（如CPU、網絡和日志量），組織可以實施成本優化措施并將不必要的成本降至最低。

4、API運行監控

API監控是API治理的一個關鍵方面，它涉及跟蹤和分析API的性能、可用性和安全性。為了確保有效的API監控，組織需要盡快實施以下技術措施：

• 首先，建立API監控的要求規范是必要的。這包括建立一個專用的監視系統，并定義監視指標和閾值，跟蹤關鍵性能指標，如響應時間、錯誤率和正常運行時間，以確保API的安全性和性能；
• 發布日志保留和卷號（volume number）也是API監視的重要方面。它可以幫助組織識別API使用性能的變化趨勢，組織可以使用此數據來識別需要優化的過度使用API，或者檢測其中的安全漏洞；
• 此外，為不尋常的模式、峰值和其他異常參數設置警報可以幫助組織快速識別和響應問題。這確保了各種API安全問題都能及時得到解決，減少長時間停機或服務中斷的風險。
• 最后，要密切監控API的SQL注入和其他攻擊。組織應該實施預防和檢測此類攻擊的措施，例如輸入驗證、加密和訪問控制等，這有助于將數據泄露的風險降至最低，并確保API是安全和合規的。

5、API標準

API標準是API治理的重要組成部分，因為它們確保API在整個組織中得到一致的開發和維護。為了確保遵守API標準，組織應該實施以下措施：

• 遵循OpenAPI標準，該標準定義了描述RESTful API的標準方法。遵循這個標準可以確保API有良好的文檔記錄，易于理解，并可與其他API實現互操作；
• 使用自動化的API審計工具。這些工具可以掃描API代碼和配置，以發現潛在的問題，例如安全漏洞或違規。這有助于確保API是安全的、兼容的和高質量的；
• 要求團隊提交API YAML文件和Postman集合。這確保了API文檔和測試工件是最新的，并且易于其他團隊訪問，有助于確保API經過良好的文檔記錄和測試。
• 最后，支持金絲雀發布（canary release）和版本控制對于確保API能夠有效地部署和管理至關重要。Canary發布涉及將新功能部署給一小部分用戶，在向更廣泛的用戶發布之前測試其影響。版本控制包括為每個API分配一個唯一的版本號，以確保對一個版本的更改不會影響其他版本。 

6、API性能管理

API性能管理是API治理的一個關鍵方面，因為它直接影響用戶體驗和API組合運營的成本。為了確保API應用保持最佳的性能狀態，企業應該實施以下措施：

• 使用Kibana、AppDynamics或Nginx等工具監控API性能。這些工具可以洞察API響應時間、錯誤率和其他性能指標。通過監控API性能，組織可以快速發現問題并采取糾正措施；
• 為低性能API設置警報，并通知團隊采取行動。這可以確保及時發現和解決性能問題，最大限度地減少對用戶的影響；
• 優化低性能API。每個用戶都希望API能夠快速響應，任何延遲或錯誤都可能導致滿意度降低甚至是業務損失。通過優化API性能，組織可以提供更好的用戶體驗并降低運營成本。

7、API合規

API合規管理是為了確保API遵從內部公司策略和監管需求，合規主要有兩種類型：內部合規和監管合規。

內部合規指的是遵守管理組織內API開發和使用的內部策略和標準。這些策略可以包括數據安全、隱私和治理；監管合規指的是遵守管理API開發和使用的外部法規和標準。這些法規可以包括特定于行業的標準，例如用于醫療保健的HIPAA或用于支付卡數據的PCI DSS。

為了確保API合規性，企業可以執行連續掃描，例如靜態和動態掃描，以確定潛在的技術合規性問題，其中靜態掃描可以分析代碼的安全漏洞，而動態掃描可以模擬對API的攻擊，以識別潛在的漏洞。在早期開發過程中檢測API安全性是很重要的，因為這可以幫助在開發周期的識別和解決合規問題。

參考鏈接：??https://dzone.com/articles/api-governance-best-practices-and-strategies-for-e??