OWASP API Security Top 10 - Español (I)

El proyecto OWASP API Security Top 10 2019 está diseñado para abordar el número cada vez mayor de organizaciones que están implementando API potencialmente sensibles como parte de sus aplicaciones públicas. Estas API se utilizan para tareas internas y para interactuar con terceros. Desafortunadamente, muchas API no se someten a rigurosas pruebas de seguridad que las ayudarían a protegerse de un ataque.

Este nuevo proyecto de seguridad de OWASP busca proporcionar valor a los desarrolladores de software y evaluadores de seguridad al subrayar los riesgos potenciales en API inseguras e ilustrar cómo estos riesgos pueden mitigarse. Para facilitar este objetivo, el proyecto OWASP API Security Top 10 mantiene un documento de los 10 principales riesgos de seguridad en APIs, así como un portal de documentación para las mejores prácticas al crear o evaluar API.

Descripción

Mientras trabajan como desarrolladores o consultores de seguridad de la información, muchas personas han encontrado API como parte de sus proyecto. Si bien hay algunos recursos para ayudar a crear y evaluar estos proyectos, como la REST Security Cheat Sheet, no existe un proyecto de seguridad integral diseñado para ayudar a los programadores y a toda la comunidad.

Este proyecto tiene como objetivo:

• Crear el documento OWASP Top Ten API Security Risks, que puede subrayar fácilmente los riesgos más comunes en el área.
• Crear un portal de documentación para que los desarrolladores puedan consultar.
• Trabajar en estrecha colaboración con la comunidad de seguridad para mantener documentos vivos que evolucionen con las tendencias de seguridad.

Líderes de proyecto

• Erez Yalon
• Inon Shkedy

 ¿Qué es la seguridad en APIs?

Las API son un elemento fundamental de la innovación en el mundo actual. Desde bancos, comercios minorista, transporte, IoT, vehículos autónomos y ciudades inteligentes, las API son una parte crítica de las aplicaciones móviles, SaaS y web modernas y se pueden encontrar en aplicaciones internas orientadas al cliente, orientadas a los socios.

Por naturaleza, las API exponen la lógica de la aplicación y los datos confidenciales, como la información de identificación personal (PII) y, debido a esto, se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible.

API Security se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades únicas y los riesgos de seguridad de las Interfaces de Programación de Aplicaciones (API).

En la sección de metodología y datos, se puede leer más sobre cómo se creó esta primera edición. En futuras versiones, los autores quieren involucrar a la industria de la seguridad, con una convocatoria pública de datos. Por ahora, se alienta a todos a contribuir con preguntas, comentarios e ideas en el repositorio del proyecto.

Aquí se puede descargar el documento  OWASP API Security Top 10 (PDF en inglés) y, en el próximo post, hacemos un resumen de API Security Top 10 2019 en español.

👉 Continuar leyendo  OWASP API Security Top 10 - Español (II) 👈

Licencia

¡Los documentos del Proyecto de Seguridad API OWASP son de uso gratuito!

El Proyecto de Seguridad API OWASP está licenciado bajo la licencia Creative Commons Attribution-ShareAlike 3.0, por lo que puede copiar, distribuir y transmitir el trabajo, y puede adaptarlo y usarlo comercialmente, siempre que atribuya el trabajo y si desea alterar, transformar o mejorar este trabajo, puede distribuirlo solo bajo la misma licencia o similar a esta.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín