برای مشاهده نتایج کلید Enter را بزنید

مهم‌ترین دستورالعمل امنیتی برای پیاده‌سازی صحیح API به فارسی ترجمه شد

سند «OWASP API Security Top 10» که از مهم‌ترین دستورالعمل‌ها برای برنامه‌نویسان جهت پیاده‌سازی صحیح API است به فارسی ترجمه شد.

 

«پروژه امنیت نرم‌افزاری تحت وب» موسوم به «OWASP»، یک بنیاد غیرانتفاعی با هدف توسعه امنیت نرم‌افزارها است و مقالات، روش‌ها، اسناد، ابزارها و فناوری‌های آزاد در زمینه امنیت وب را تولید می‌کند. «اواسپ» زیرپروژه‌ای به نام مستند OWASP API Security Top 10 دارد که ۱۰ آسیب‌پذیری که بیشترین ریسک را در محیط API دارند را منتشر می‌کند. در این لیست مشخص شده که این آسیب‌پذیری‌ها دقیقا چه هستند، چطور به وجود آمده‌اند، چگونه باید شناسایی و در نهایت برطرف شوند.

 

چرا امنیت API مهم است؟

 

یک عنصر اساسی نوآوری در دنیای اپلیکیشن‌محور امروزی API است. از بانک، خرده‌فروشی و حمل‌ونقل گرفته تا اینترنت اشیا، وسایل نقلیه خودمختار و شهرهای هوشمند، API‌ها بخش مهمی از موبایل مدرن، SaaS و برنامه‌های کاربردی وب هستند و می‌توان آن‌ها را در برنامه‌های روبه‌رو، شریک و داخلی یافت. ذاتاً، APIها منطق برنامه‌ها و داده‌های حساس مانند اطلاعات شناسایی شخصی (PII) را در معرض نمایش می‌گذارند و به همین دلیل به طور فزاینده‌ای به هدفی برای مهاجمان تبدیل می‌شوند.

 

تصور کنید یک برنامه‌نویس می‌خواهد برای حوزه بورس یک اپلیکیشن توسعه دهد. این اپلیکیشن برای اینکه کارکرد قابل قبولی داشته باشد نیاز دارد تا با کارگزاری بورس ارتباط برقرار کند. از سوی دیگر باید بتواند بازار بورس را نیز پایش کند. دقیقا به دلیل نیاز به همین ارتباطات بود که مفهومی به نام API خلق شد. زمانی که یک سازمان یا شرکت سرویس API ارائه می‌دهد بحث امنیت بسیار با اهمیت می‌شود چراکه همه مخاطبان آن توسعه‌دهندگانی هستند که دانش فنی بالایی دارند. حال اگر یک API به شکل درستی پیاده‌سازی نشده باشد، این خطر به شکل بالقوه وجود دارد که از آسیب‌پذیری‌های API سواستفاده شود. در صورتی که پیاده‌سازی API به شکل درستی انجام نشود احتمال آسیب‌پذیری افزایش پیدا می‌کند و ممکن است داده‌ها در معرض نشت قرار بگیرند.

 

مهم‌ترین نکته این است که بدون API های امن، نوآوری سریع غیرممکن خواهد بود. حال، امنیت API بر استراتژی‌ها و راه‌حل‌هایی برای درک و کاهش آسیب‌پذیری‌ها و خطرات امنیتی منحصربه‌فرد رابط‌های برنامه‌نویسی کاربردی (API) تمرکز دارد.

 

استفاده از OWASP چه کمکی به توسعه‌دهندگان و شرکت‌های ایرانی می‌کند؟

 

شرکت‌های ایرانی می‌توانند این سند را به فارسی در اختیار توسعه‌دهندگان خود قرار دهند و از آن‌ها بخواهند ۱۰ مورد اصلی که بیشترین آسیب‌پذیری‌های این حوزه بوده‌اند را رعایت کنند تا API و داده‌های آن‌ها امن باقی بماند. شرکت «راسپینا نت پارس» با همین هدف این سند امنیتی مهم را به فارسی برگردانده است.

 

«محمدرضا مستمع»، کارشناس امنیت سایبری و مدیرعامل راسپینا نت پارس در همین رابطه می‌گوید: «راسپینا نت پارس با هدف کمک به افزایش امنیت فضای وب فارسی این دستورالعمل را به زبان فارسی برگردانده است. ما در تست‌های نفوذ خود می‌بینیم که سطح این آسیب‌پذیری‌ها در سرویس‌ها و خدمات ایرانی به شدت بالاست. به همین دلیل تصمیم گرفتیم این سند مهم را به فارسی ترجمه کنیم تا به جامعه برنامه‌نویسان ایرانی کمک کنیم از مهم‌ترین و متداول‌ترین آسیب‌پذیری‌های مربوط به APIها جلوگیری کند. در یک کلام، ما تلاش کردیم به امن‌تر شدن فضای API در کشورمان کمک کنیم. از سوی دیگر، اگر پیاده‌سازی API به شکل درست و امن انجام شود، آن زمان متخصصین امنیت سایبری می‌توانند دقت و تلاش خود را صرف کشف و جلوگیری از آسیب‌پذیری‌های مهم‌تر کنند.»

 

به گفته مستمع، حجم آسیب‌پذیری‌های حوزه API در ایران به شدت زیاد شده است و چنین اتفاقی اثرات جانبی منفی بزرگی روی استفاده همه کاربران از شبکه اینترنت خواهد داشت.

مطالب مرتبط

دکتر یحیی تابش، استاد دانشگاه استنفورد
پادکست زوم قسمت بیست‌وسوم؛ گفت‌و‌گو با دکتر یحیی تابش، استاد دانشگاه استنفورد
پادکست زوم قسمت بیست‌ودوم؛ گفت‌و‌گو با امیرحسین فقیهی، مدیرعامل لحظه‌نگار
پادکست زوم قسمت بیست‌ویکم؛ گفت‌و‌گو با سینا مومنی، مدیرعامل یکتانت
پادکست زوم قسمت بیست‌ویکم؛ گفت‌و‌گو با سینا مومنی، مدیرعامل یکتانت
پادکست زوم قسمت بیستم؛ گفت‌و‌گو با علی الیاسی، مدیرعامل ابرآمد
پادکست زوم قسمت نوزدهم؛ گفت‌و‌گو با آرین اوهانیان، برند دیزاینر
پادکست زوم قسمت نوزدهم؛ گفت‌و‌گو با آرین اوهانیان، برند دیزاینر
پادکست زوم قسمت هجدهم؛ گفت‌و‌گو با محمدرضا آقایا، مدیرعامل شرکت باسلام
پادکست زوم سئو 24 رضا شیرازی
پادکست زوم قسمت هفدهم؛ گفت‌و‌گو با رضا شیرازی، مدیرعامل شرکت سئو۲۴
پادکست زوم قسمت شانزدهم؛ گفت‌و‌گو با حمیدرضا احمدی، مدیرعامل شرکت ایوند
پادکست زوم قسمت پانزدهم؛ گفت‌و‌گو با دکتر علیرضا توکلی کاشی، متخصص بازار سرمایه
پادکست زوم تخفیفان
پادکست زوم قسمت چهاردهم؛ گفت‌و‌گو با مدیرعامل تخفیفان
پادکست زوم قسمت سیزدهم؛ گفت‌و‌گو با دکتر سعید باجلان، عضو هیات علمی و متخصص بازار سرمایه
پادکست زوم قسمت دوازدهم؛ گفت‌و‌گو با مدیرعامل سهام‌یاب
پادکست زوم قسمت یازدهم؛ گفت‌و‌گو با مدیران ارشد اجرایی اسنپ‌تریپ
پادکست زوم قسمت دهم؛ گفت‌و‌گو با مدیرعامل میاره
پادکست زوم قسمت نهم؛ گفت‌و‌گو با مدیرعامل ابرآروان
پادکست زوم قسمت هشتم؛ گفت‌و‌گو با مدیرعامل پینکت
پادکست زوم همکاران سیستم
پادکست زوم قسمت هفتم؛ گفت‌و‌گو با مدیرعامل همکاران سیستم
اسنپ فود
پادکست زوم قسمت ششم؛ گفت‌و‌گو با رییس هیات مدیره اسنپ‌فود
پادکست زوم، قسمت پنجم؛ گفت‌و‌گو با مدیرعامل تپسی