ترجمه دستورالعمل امنیتی برای پیاده‌سازی صحیح API به فارسی

به گزارش خبرگزاری صدا و سیما، طرح امنیت نرم‌افزاری تحت وب موسوم به اواسپ (OWASP) یک بنیاد غیرانتفاعی با هدف توسعه امنیت نرم‌افزار‌هاست و مقالات، روش‌ها، اسناد، ابزار‌ها و فناوری‌های آزاد در زمینه امنیت وب را تولید می‌کند.
اواسپ زیر مجموعه ای به نام مستند OWASP API Security Top ۱۰ دارد که ۱۰ آسیب‌پذیری را که بیشترین خطر را در محیط API دارند، منتشر می‌کند. در این فهرست مشخص شده که این آسیب‌پذیری‌ها دقیقا چه هستند، چطور به وجود آمده‌اند، چگونه باید شناسایی و در نهایت برطرف شوند.

کارشناس امنیت سایبری و مدیرعامل این شرکت فناور ، API را یک عنصر اساسی نوآوری در دنیای اپلیکیشن محور امروزی دانست و گفت: در همه حوزه‌ها از خرده فروشی و حمل و نقل گرفته تا اینترنت اشیا، وسایل نقلیه خودران و شهر‌های هوشمند، API‌ها بخش مهمی هستند، ضمن آنکه در موبایل‌های مدرن، SaaS و برنامه‌های کاربردی وب به شمار می‌روند.
محمدرضا مستمع ادامه داد: API ها، ذاتاً منطق برنامه‌ها و داده‌های حساس مانند اطلاعات شناسایی شخصی (PII) را در معرض نمایش می‌گذارند و به همین دلیل به طور فزاینده‌ای به هدفی برای مهاجمان تبدیل می‌شوند.
وی ادامه داد: تصور کنید یک برنامه‌نویس می‌خواهد برای حوزه بورس یک اپلیکیشن را توسعه دهد. این اپلیکیشن برای اینکه کارکرد قابل قبولی داشته باشد، نیاز دارد تا با کارگزاری بورس ارتباط برقرار کند و از سوی دیگر باید بتواند بازار بورس را نیز پایش کند. دقیقا به دلیل نیاز به همین ارتباطات بود که مفهومی به نام API خلق شد. زمانی که یک سازمان یا شرکت سرویس API ارائه می‌دهد، بحث امنیت بسیار با اهمیت می‌شود؛ چراکه همه مخاطبان آن توسعه‌دهندگانی هستند که دانش فنی بالایی دارند.
مدیر عامل این شرکت تاکید کرد: اگر یک API به شکل درستی پیاده سازی نشده باشد، این خطر به شکل بالقوه وجود دارد که از آسیب پذیری‌های API سواستفاده شود، به گونه‌ای که احتمال آسیب‌پذیری افزایش پیدا می‌کند و ممکن است داده‌ها در معرض نشت قرار بگیرند.
این محقق حوزه کارشناسی فناوری اطلاعات اظهار کرد: مهمترین نکته این است که بدون API‌های امن، نوآوری سریع غیرممکن خواهد بود. حال، امنیت API بر راهبردها و راه‌حل‌هایی برای درک و کاهش آسیب‌پذیری‌ها و خطرات امنیتی منحصربه‌فرد رابط‌های برنامه‌نویسی کاربردی (API) تمرکز دارد.

آقای مستمع خاطر نشان کرد: شرکت‌های ایرانی می‌توانند این سند را به فارسی در اختیار توسعه‌دهندگان خود قرار دهند و از آن‌ها بخواهند ۱۰ مورد اصلی که بیشترین آسیب‌پذیری‌های این حوزه بوده‌اند را رعایت کنند تا API و داده‌های آن‌ها امن باقی بماند. در این زمینه این شرکت با همین هدف این سند امنیتی مهم را به فارسی برگردانده است.
این کارشناس امنیت سایبری تاکید کرد: ما در این شرکت با هدف کمک به افزایش امنیت فضای وب فارسی این دستورالعمل را به زبان فارسی برگرداندیم. ما در آزمایش های نفوذ خود می‌بینیم که سطح این آسیب‌پذیری‌ها در شبکه ها و خدمات ایرانی به شدت بالاست، به همین دلیل تصمیم گرفتیم این سند مهم را به فارسی ترجمه کنیم تا به جامعه برنامه نویسان ایرانی کمک کنیم تا از مهمترین و متداول‌ترین آسیب‌پذیری‌های مربوط به API‌ها جلوگیری شود.
وی اضافه کرد: ما تلاش کردیم به امن‌تر شدن فضای API در کشورمان کمک کنیم. از سوی دیگر، اگر پیاده‌سازی API به شکل درست و امن انجام شود، آن زمان متخصصین امنیت سایبری می‌توانند دقت و تلاش خود را صرف کشف و جلوگیری از آسیب‌پذیری‌های مهم‌تر کنند.
به گفته آقای مستمع، حجم آسیب‌پذیری‌های حوزه API در ایران به شدت زیاد شده است و چنین اتفاقی اثرات جانبی منفی بزرگی روی استفاده همه کاربران از شبکه اینترنت خواهد داشت.
API مخفف کلمه (Application Programming Interface) است.