¿Por qué de­be­ría preo­cu­par­se por la se­gu­ri­dad de las API?

Los desa­rro­lla­do­res de API ofre­cen al­gu­nas res­pues­tas muy lla­ma­ti­vas a la pre­gun­ta de qué tan se­gu­ros creen que son sus pro­duc­tos.

IT Now Guatemala - - DEVOPS -

Da­do que las API, por definición, ad­mi­nis­tran el ac­ce­so a los da­tos im­por­tan­tes, cual­quier preo­cu­pa­ción por su se­gu­ri­dad inevi­ta­ble­men­te le­van­ta du­das.

Una en­cues­ta re­cien­te de Post­man, el pro­vee­dor de la ca­de­na de he­rra­mien­tas API, a 3 mi­llo­nes de desa­rro­lla­do­res dio una visión acer­ca de es­te pro­ble­ma. Una de las pre­gun­tas más sim­ples - “¿Cuán se­gu­ro creen que son sus API?” - tu­vo el con­jun­to más lla­ma­ti­vo de res­pues­tas.

Los re­sul­ta­dos fue­ron alen­ta­do­res: los desa­rro­lla­do­res creen que sus APIS tie­nen una se­gu­ri­dad me­jor que la me­dia. En una es­ca­la de 1 (na­da se­gu­ro) a 5 (muy se­gu­ro), la ca­li­fi­ca­ción pro­me­dio fue de 3,4.

Aún más in­tere­san­te re­sul­tó la con­vic­ción que cuan­to más se tra­ba­ja con API más se con­fía en su se­gu­ri­dad. De los desa­rro­lla­do­res que tra­ba­jan con API me­nos de 10 ho­ras a la se­ma­na, só­lo el 26% cla­si­fi­có a sus API co­mo “bas­tan­te” o “muy” se­gu­ras (una ca­li­fi­ca­ción de 4 o 5), mien­tras que los que tra­ba­ja­ban con APIS más de 20 ho­ras a la se­ma­na fue­ron más op­ti­mis­tas, pues el 40% die­ron a sus APIS una ca­li­fi­ca­ción de se­gu­ri­dad de 4 o 5.

Pa­ra una API ser se­gu­ra ne­ce­si­ta con­tro­lar efi­caz­men­te seis ries­gos dis­tin­tos: da­tos, operaciones, in­fra­es­truc­tu­ra, per­so­nas, red y res­pues­ta a in­ci­den­tes. Eso es ade­más del tra­ba­jo prin­ci­pal de di­se­ñar, pro­bar y do­cu­men­tar la pro­pia API.

1- Com­par­tir los da­tos co­rrec­tos en el mo­men­to ade­cua­do

El tra­ba­jo más co­mún de una API es ex­po­ner los da­tos pa­ra su uso por otras apli­ca­cio­nes, lo que mar­ca la pri­me­ra preo­cu­pa­ción. El con­trol de los da­tos es crí­ti­co, por lo cual se de­be es­tar se­gu­ro de que el ni­vel co­rrec­to de ac­ce­so es­tá dis­po­ni­ble, ba­sa­do en la au­to­ri­za­ción apro­pia­da. Una es­truc­tu­ra de con­trol ex­ce­si­va­men­te res­tric­ti­va ga­ran­ti­za­rá la se­gu­ri­dad, pe­ro des­alen­ta­rá o evi­ta­rá el uso de la API, so­ca­van­do su pro­pó­si­to.

2- Operaciones: Se­gu­ri­dad en el cam­bio y la ac­tua­li­za­ción de los da­tos

Las más avan­za­das per­mi­ten a los usua­rios no só­lo leer los da­tos sino rea­li­zar operaciones en ellos, in­clui­das las ac­tua­li­za­cio­nes y las eli­mi­na­cio­nes. Uti­li­za­dos con ma­la in­ten­ción es­tos cam­bios en los da­tos pue­den ser peo­res que un simple vis­ta­zo no au­to­ri­za­do. Por ejem­plo, una bre­cha re­cien­te en la se­gu­ri­dad de Twit­ter per­mi­tió a un ata­can­te eli­mi­nar tar­je­tas de cré­di­to las cuen­tas. Se de­ben rea­li­zar prue­bas ex­haus­ti­vas pa­ra com­pro­bar que una au­to­ri­za­ción co­rrec­ta es esencial.

3- In­fra­es­truc­tu­ra: con­fiar EN SU PI­LA TEC­NO­LÓ­GI­CA

La pi­la de soft­wa­re mo­der­na es com­pli­ca­da. Pue­den exis­tir erro­res en las apli­ca­cio­nes, los marcos, el len­gua­je,

Newspapers in Spanish

Newspapers from Guatemala

© PressReader. All rights reserved.