《API安全技术应用指南（2024版）》报告暨代表性厂商评估调研启动

随着SaaS化和云服务的兴起，基于API的软件集成已成为构建现代应用程序的关键方法。然而，API自身的安全性，如不安全的协议框架、开发缺陷和漏洞，不仅给应用程序和Web应用带来严重的安全隐患，还因为大量API的外部暴露，极大地增加了业务系统和数据的攻击面，为不法分子提供了可乘之机。在日趋严峻的网络安全形势下，赏金猎人和针对API的自动化攻击工具使API自身的缺陷更容易被发现和利用。这些漏洞可能导致非法访问、数据泄露、SQL注入和跨站脚本攻击等一系列安全风险，给企业造成系统破坏、业务中断和经济损失。

安全牛自2021年起，将API作为应用安全的二级分类纳入《中国网络安全行业全景图》进行重点关注。近3年来，网络安全研究机构持续发布API风险态势的相关报告，API安全正在成为近年来的高风险预警领域；在NVD漏洞库中以“API”为关键字检索，能看到近3个月有300多条API相关的记录；在厂商侧，从事API安全的厂商数量从十几家跃升到近40家。对照近些年发生的API安全事件，我们进一步感受到了API风险态势的严峻性。

API作为应用软件的重要组成部分，也是软件安全、业务安全和数据安全的底层基石，是国家网络安全和数字经济发展的重要前提。为保障国家数字经济的长效建设，行业监管部门在贯彻网络安全的基础上进一步着手API安全治理，陆续出台应用程序接口安全相关的细则，包括《应用程序接口规范》《云应用安全技术标准》《数据安全技术数据接口安全风险监测方法》等等。这些规范分别从评估、审计、漏洞检查、隐私敏感权限等维度提出了具体要求。

然而，API接口自身的隐蔽性和复杂性给企业安全规划以及CSO们提出了新的挑战。为帮助用户更好地开展安全规划、API安全建设，并提供有效的API安全框架、产品方案、厂商支持，安全牛即日起正式启动《API安全技术应用指南（2024版）》报告（以下简称“报告”）研究工作，并对该领域的年度代表性厂商进行能力评估、方案推荐和落地应用案例展示。

研究说明

1.报告将基于多维度的产业调研，对我国API安全技术的发展现状、生态结构、创新趋势等进行全景分析和展示；

2.报告将从甲方用户实际应用需求出发，对我国企业API安全防护技术的应用需求、应用状况、应用水平以及应用成熟度进行调研和分析，加速厂商侧安全创新能力和成果转换；

3. 报告以安全牛年度《中国网络安全企业100强》和《中国网络安全行业全景图》研究成果为基础，从品牌影响、技术研发、产品化、服务保障、方案应用等维度对我国市场上主流的API安全厂商进行特点分析和能力评估，并对其中的10家典型厂商进行收录和推荐；

4. 报告将基于厂商调研对近年来成功落地的API安全技术应用案例进行分析，并从方案成熟度、场景适用性、易用性、应用效果等维度进行分析评价，为后续用户的应用选型提供参考；

5. 本次报告调研及收录，需要基于企业自主申报，相关申报数据需要真实并可核验，不能配合数据核验的企业需在申报时标注并说明原因；由于部分申报内容可能涉及企业商业秘密，申报企业可与安全牛签订数据真实性及保密协议。

研究原则

1.全面性：本次调研将全面覆盖国内主流API安全厂商，并通过多维度信息收集，展现行业发展全貌；

2.客观性：以企业申报、用户访谈、问卷调研、专家咨询等多种形式开展研究工作，真实、客观地体现当前API安全防护技术在我国的发展状况及应用特点；

3.实用性：本次调研的目的是为企业用户提供一份详尽的API安全技术应用指南，通过对API安全应用理念的识别，分析API安全能力建设的体系框架和成熟度模型，提供用户构建API安全防护体系的方法和路径，并针对常见应用问题给出相关建议。

申报要求及报名

报名咨询：