Rest安全指南。开发商的规则？

Question

在我目前的项目中，我也建立了安全测试领域。到目前为止，还没有在REST开发中使用安全性的方法。除了已知的方法(例如，在暂存环境中使用静态软件解决方案)之外，还提出了Rest安全准则主题。

当然，总有关于这个话题的文章和博客，但至少在我看来，并不是所有的方面都包括在内。

除了REST设计和安全https://restfulapi.net/security-essentials/的已知提示之外

除了最佳做法外，我真的怀念具体的发展办法。为了能够更好地规划API的质量，特别是在安全性方面，我在开发方面需要注意什么。

Answer 1

与往常一样，当主题是web安全时，您应该从OWASP资源开始：https://cheatsheetseries.owasp.org/cheatsheets/REST_评估_作弊_Sheet.html

(这个答复以前是根据这个问题所作的评论，因为它很简短。我按照OP的建议把它搬到了这里。)

Answer 2

根据您交付软件的方法，我相信这个实现可以采取不同的形式。我很感激你的问题是在寻找一些具体的东西，也许这是一些比较固执己见的问题，但我在几个项目中看到了很多不同的方法。以下是一些入门的第一步：

首先，遵循@A.Herseans的建议，然后前往OWASP便条。

第二，做一些威胁分析。类似于用户配置文件(人物角色)(您的UX人会知道这一点)，做一些错误的用户配置文件。了解威胁可能来自哪里，即你是否更有可能被一个国家的黑色行动以复杂的攻击击中你，还是更有可能的是，账户上的乔刚刚失去了工作，并试图下载大量的个人用户数据，以伤害公司在走出大门的路上？这很重要，所以你知道你可能需要保护什么样的技术能力。

接下来，我始终认为，在考虑系统的上下文时，威胁建模对于考虑您可能面临的攻击类型是有用的。回到OWASP，查看威胁建模，或者尝试吉姆·甘布利和弗雷泽·斯科特关于这一主题的介绍，幻灯片15到20确实可以为您指明正确的思维方向。

最后一个建议，但肯定没有完成的是定期与你的BA进行对话。在开发开始之前就参与到故事中去，并考虑一下早期可能出现的威胁。确保开发人员在获取一个故事时意识到了威胁，并确保他们从一开始就在构建这个故事。

真正考虑到自动化软件测试之外的所有bit的好读物是敏捷应用安全。我绝对会建议你去看看。