30%的面向客户的API完全没有保护

根据F5的数据，70%的面向客户的API使用HTTPS进行保护，其中近三分之一的API完全不受保护。

这与过去十年推动安全网络通信后，现在通过HTTPS访问的90%的网页形成了鲜明的对比。

F5杰出工程师Lori MacVittie说：“API正在成为数字化转型工作的支柱，将跨组织的关键服务和应用程序连接起来。”“然而，正如我们的报告所示，许多组织没有跟上保护这些宝贵资产所需的安全要求，特别是在人工智能驱动的威胁出现的背景下。”

面向客户的API仍然脆弱

普通组织现在管理着421个不同的API，其中大部分托管在公共云环境中。尽管有这种增长，但大量API——特别是那些面向客户的API——仍然不受保护。

随着API越来越多地连接到OpenAI等人工智能服务，安全模型必须适应以涵盖入站和出站API流量。目前的做法主要集中在入站流量上，使出站API调用变得脆弱。

80%的组织在API设计阶段开始API安全。此外，59%的组织表示，他们在API生命周期的每个阶段都纳入了安全性。87%的组织已经采用或计划采用安全开发生命周期（SDLC）实践，这些实践强调在周期的每个阶段解决安全性问题。

一些API生活在安全服务泡沫中，从微服务架构中的mTLS到访问控制、DDoS和机器人防御，
以及特定于API的安全措施。因此，一般来说，这些API受到相当好的保护。但一小部分——不到10%——完全没有受到保护。考虑到大多数组织内API使用的广度，这可能并不令人担忧。然而，面向客户的API（超过30%，近三分之一）的惊人比例完全不受任何保护。

无论是在公众和合作伙伴访问的应用程序中还是在运营集成中，不保护任何API都是不明智的。采用零信任安全模型的组织需要将其思维扩展到应用程序之外，以确保每个API请求，无论其来源如何，都经过身份验证、授权和验证。