El proyecto OWASP API Security Top 10 2019 está diseñado para abordar el número cada vez mayor de organizaciones que están implementando API potencialmente sensibles como parte de sus aplicaciones públicas. Estas API se utilizan para tareas internas y para interactuar con terceros. Desafortunadamente, muchas API no se someten a rigurosas pruebas de seguridad que las ayudarían a protegerse de un ataque.

Este nuevo proyecto de seguridad de OWASP busca proporcionar valor a los desarrolladores de software y evaluadores de seguridad al subrayar los riesgos potenciales en API inseguras e ilustrar cómo estos riesgos pueden mitigarse. Para facilitar este objetivo, el proyecto OWASP API Security Top 10 mantiene un documento de los 10 principales riesgos de seguridad en APIs, así como un portal de documentación para las mejores prácticas al crear o evaluar API.

Descripción

Mientras trabajan como desarrolladores o consultores de seguridad de la información, muchas personas han encontrado API como parte de sus proyecto. Si bien hay algunos recursos para ayudar a crear y evaluar estos proyectos, como la REST Security Cheat Sheet, no existe un proyecto de seguridad integral diseñado para ayudar a los programadores y a toda la comunidad.

Este proyecto tiene como objetivo:

• Crear el documento OWASP Top Ten API Security Risks, que puede subrayar fácilmente los riesgos más comunes en el área.
• Crear un portal de documentación para que los desarrolladores puedan consultar.
• Trabajar en estrecha colaboración con la comunidad de seguridad para mantener documentos vivos que evolucionen con las tendencias de seguridad.

Líderes de proyecto

• Erez Yalon
• Inon Shkedy

 ¿Qué es la seguridad en APIs?

Las API son un elemento fundamental de la innovación en el mundo actual. Desde bancos, comercios minorista, transporte, IoT, vehículos autónomos y ciudades inteligentes, las API son una parte crítica de las aplicaciones móviles, SaaS y web modernas y se pueden encontrar en aplicaciones internas orientadas al cliente, orientadas a los socios. Por naturaleza, las API exponen la lógica de la aplicación y los datos confidenciales, como la información de identificación personal (PII) y, debido a esto, se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible.

API Security se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades únicas y los riesgos de seguridad de las Interfaces de Programación de Aplicaciones (API).

Aquí se puede descargar el documento  OWASP API Security Top 10 (PD en inglés) y, en el próximo post, haremos un resumen de API Security Top 10 2019 en español.

Cristian de la Redacción de Segu-Info