IDC將API安全定義為專門為保護API通信免受誤用、濫用和漏洞利用而設計的解決方案，其所提供的功能包括API資產發現、驗證和執行，動態和自適應的流量監測和模式分析、檢測和阻止威脅，例如惡意軟件、漏洞利用、代碼注入、機器人流量、DDoS攻擊、欺詐和濫用等。目前API安全多以API安全網關、API安全管理平臺等產品形式進行交付。

IDC認為，API的安全防護市場在中國還處于初步發展階段，產品和技術能力還需進一步加強。目前，國內眾多網絡安全廠商、數據安全廠商、云計算服務商、專業的API安全廠商紛紛布局API安全市場，且各個廠商結合自己的技術積累和行業優勢推出了各具特色的產品和解決方案。

IDC結合當前中國API安全市場發展現狀及未來趨勢，為技術買家提供以下幾點建議：

●   DevSecOps幫助企業將安全融入到DevOps整體交付流程，從開始階段就將安全列為優先事項。完整的API安全防護解決方案應從API開發和部署開始，運用SAST、DAST等手段在開發環節檢驗安全漏洞和錯誤配置的問題，幫助用戶從根源上降低API安全風險。

●   API資產的發現與管理是做好API安全的基礎，但僅靠安全團隊人工梳理很難全面獲取企業所有API資產信息及其應用狀態。一方面需要相關業務部門的協同支持；另一方面，需要通過自動或半自動化的工具全面檢測和識別企業網絡中的各類API資產，并根據企業自有規則進行精細化分類管理。

●   API安全不僅需要關注API自身的暴露面和漏洞信息、API的訪問權限精細化管理、日志監控缺失等問題，還需要監測通過API流轉的數據是否存在違規調用、敏感數據泄露、數據篡改等數據安全問題，企業應結合自身業務需求，合理規劃防護重點并選擇匹配的技術提供商。

●   對于業務部門來說，為了防護API安全而顯著影響業務系統的響應速度是不可接受的。因此，企業在進行廠商能力評估時需要重點關注產品的性能表現，尤其是面向對通信速度有較高要求的業務系統提供API安全防護時，更要做好速度、功能、穩定性和一致性等多方面的平衡。

分析師觀點