API 보안

API 보안은 웹 애플리케이션 프로그래밍 인터페이스(API)를 무단 액세스, 남용 및 공격으로부터 보호하기 위해 취해지는 조치를 의미합니다.

API는 현대 애플리케이션 개발의 중요한 구성 요소로, 애플리케이션 간의 상호 작용과 데이터 교환을 가능하게 합니다.

그러나 이는 공격자에게도 매력적이며, 적절하게 보호하지 않으면 보안 위협에 노출될 수 있습니다.

이 섹션에서는 애플리케이션의 웹 API 보안을 보장하는 데 사용할 수 있는 GitLab 기능에 대해 논의합니다.

논의되는 기능 중 일부는 웹 API에 특화되어 있으며, 다른 기능은 웹 API 애플리케이션과 함께 사용되는 보다 일반적인 솔루션입니다.

• SAST는 애플리케이션의 코드베이스를 분석하여 취약점을 식별합니다.
• Dependency Scanning는 프로젝트의 서드파티 종속성을 검토하여 알려진 취약점(예: CVE)에 대해 확인합니다.
• Container Scanning는 컨테이너 이미지를 분석하여 알려진 OS 패키지 취약점 및 설치된 언어 종속성을 식별합니다.
• API Discovery는 REST API를 포함한 애플리케이션을 검사하고 해당 API에 대한 OpenAPI 사양을 유추합니다. OpenAPI 사양 문서는 다른 GitLab 보안 도구에서 사용됩니다.
• API security testing analyzer는 웹 API의 동적 분석 보안 테스트를 수행합니다. 애플리케이션에서 다양한 보안 취약점, включая OWASP Top 10을 식별할 수 있습니다.
• API Fuzzing은 웹 API의 퍼즈 테스트를 수행합니다. 퍼즈 테스트는 애플리케이션에서 이전에 알려지지 않았거나 SQL Injection과 같은 고전적인 취약점 유형에 매핑되지 않는 문제를 찾습니다.