سؤال: ما الفرق بين واجهات برمجة تطبيقات zombie وواجهات برمجة تطبيقات الظل؟
نيك راجو، المدير التنفيذي للتكنولوجيا الميداني، Salt Security: تمثل واجهات برمجة تطبيقات Zombie وواجهات برمجة تطبيقات الظل منتجات ثانوية لتحدي أكبر تكافح المؤسسات من أجل مواجهته اليوم: انتشار واجهة برمجة التطبيقات.
نظرًا لأن الشركات تسعى إلى تعظيم قيمة الأعمال المرتبطة بواجهات برمجة التطبيقات، فقد انتشرت واجهات برمجة التطبيقات. لقد أدى التحول الرقمي، وتحديث التطبيقات إلى الخدمات الصغيرة، وهندسة التطبيقات التي تعتمد واجهة برمجة التطبيقات أولاً، والتطورات في أساليب نشر البرامج المستمرة السريعة إلى زيادة النمو عالي السرعة لعدد واجهات برمجة التطبيقات التي تم إنشاؤها واستخدامها من قبل المؤسسات. نتيجة لهذا الإنتاج السريع لواجهة برمجة التطبيقات (API)، تجلى انتشار واجهة برمجة التطبيقات (API) عبر فرق متعددة تستفيد من منصات تقنية متعددة (القديمة، وKubernetes، وVMs، وما إلى ذلك) عبر العديد من البنى التحتية الموزعة (مراكز البيانات المحلية، والسحابات العامة المتعددة، وما إلى ذلك) . تظهر الكيانات غير المرغوب فيها مثل zombie APIs وshadow APIs عندما لا يكون لدى المؤسسات الاستراتيجيات المناسبة لإدارة انتشار API.
ببساطة، واجهة برمجة تطبيقات zombie هي واجهة برمجة تطبيقات مكشوفة أو نقطة نهاية واجهة برمجة التطبيقات التي أصبحت مهجورة أو قديمة أو منسية. في مرحلة ما، أدت واجهة برمجة التطبيقات (API) وظيفة ما. ومع ذلك، ربما لم تعد هناك حاجة لهذه الوظيفة أو تم استبدال/تحديث واجهة برمجة التطبيقات (API) بإصدار أحدث. عندما لا يكون لدى المؤسسة ضوابط مناسبة حول إصدار واجهات برمجة التطبيقات القديمة وإهمالها وإيقافها، فقد تستمر واجهات برمجة التطبيقات هذه إلى أجل غير مسمى - ومن هنا يأتي مصطلح "زومبي".
نظرًا لأنه تم نسيانها بشكل أساسي، لا تتلقى واجهات برمجة التطبيقات zombie API أي تصحيح أو صيانة أو تحديثات مستمرة بأي صفة وظيفية أو أمنية. لذلك، تصبح واجهات برمجة تطبيقات zombie بمثابة خطر أمني. في الواقع، شركة سولت سيكيوريتي "حالة أمان واجهة برمجة التطبيقات"يصنف التقرير واجهات برمجة تطبيقات zombie باعتبارها مصدر القلق الأمني الأول لواجهة برمجة التطبيقات (API) لدى المؤسسات خلال استطلاعاته الأربعة الماضية.
في المقابل، فإن واجهة برمجة تطبيقات الظل هي واجهة برمجة تطبيقات مكشوفة أو نقطة نهاية واجهة برمجة التطبيقات التي تم إنشاؤها ونشرها "تحت الرادار". تم إنشاء واجهات برمجة تطبيقات الظل ونشرها خارج نطاق ضوابط إدارة واجهة برمجة التطبيقات الرسمية وإمكانية الرؤية والأمان الخاصة بالمؤسسة. وبالتالي، فإنها يمكن أن تشكل مجموعة واسعة من المخاطر الأمنية، بما في ذلك:
- قد لا تحتوي واجهة برمجة التطبيقات (API) على بوابات مصادقة ووصول مناسبة.
- قد تعرض واجهة برمجة التطبيقات (API) بيانات حساسة بشكل غير صحيح.
- قد لا تلتزم واجهة برمجة التطبيقات (API) بأفضل الممارسات من الناحية الأمنية، مما يجعلها عرضة للعديد من أعلى 10 OWASP API Security تهديدات الهجوم.
هناك عدد من العوامل المحفزة وراء رغبة المطور أو فريق التطبيق في نشر واجهة برمجة التطبيقات أو نقطة النهاية بسرعة؛ ومع ذلك، يجب اتباع استراتيجية صارمة لإدارة واجهة برمجة التطبيقات (API) لفرض الضوابط والمعالجة حول كيفية ووقت نشر واجهة برمجة التطبيقات (API) بغض النظر عن الدافع.
إضافة إلى المخاطر، فإن انتشار واجهة برمجة التطبيقات (API) وظهور واجهات برمجة التطبيقات (Zombie) والظل يمتد إلى ما هو أبعد من واجهات برمجة التطبيقات (API) التي تم تطويرها داخليًا. يمكن لواجهات برمجة التطبيقات التابعة لجهات خارجية والتي يتم نشرها واستخدامها كجزء من التطبيقات المجمعة والخدمات المستندة إلى SaaS ومكونات البنية التحتية أن تسبب مشكلات أيضًا إذا لم يتم جردها وإدارتها وصيانتها بشكل صحيح.
تتشابه واجهات برمجة التطبيقات Zombie وshadow API المخاطر الأمنية. اعتمادًا على عناصر تحكم واجهة برمجة التطبيقات (API) الموجودة في المؤسسة (أو عدم وجودها)، قد يكون أحدهما أقل أو أكثر إشكالية من الآخر. كخطوة أولى لمواجهة تحديات واجهات برمجة تطبيقات zombie وshadow، يجب على المؤسسات استخدام تقنية اكتشاف واجهة برمجة التطبيقات المناسبة للمساعدة في جرد وفهم جميع واجهات برمجة التطبيقات المنتشرة في بنيتها التحتية. بالإضافة إلى ذلك، يجب على المؤسسات اعتماد إستراتيجية حوكمة واجهة برمجة التطبيقات التي توحد كيفية إنشاء واجهات برمجة التطبيقات وتوثيقها ونشرها وصيانتها - بغض النظر عن الفريق والتكنولوجيا والبنية التحتية.
