Header Ads Widget

Ticker

6/recent/ticker-posts

Más de 20 recursos para definir conceptos estrictos de seguridad API

 


Los conceptos de API, especialmente los relacionados con la seguridad, a menudo pueden resultar confusos. Si bien generalmente entendemos conceptos básicos como "credenciales", tratar de explicar en qué se diferencia el flujo de ROPC del flujo de credenciales de cliente a menudo puede convertirse relativamente rápido en acrónimos y diagramas. En consecuencia, hemos compilado una lista de 20 recursos que ayudan a concretar estos conceptos.

1 - OAuth.Tools

OAuth.tools, la primera zona de juegos de OAuth del mundo, es un excelente sitio web para probar una variedad de flujos de OAuth. Este sitio no solo demostrará cómo se ve y se siente cada flujo, sino que también dará una idea de cómo se comportan e interactúan los JWT con cada flujo.

2 - Materiales de documentación de OAuth

Teniendo en cuenta lo omnipresente que es el estándar OAuth, la documentación proporcionada es quizás la mejor manera de comenzar a comprender estos conceptos, términos y problemas complejos. En última instancia, este recurso es un amplio conjunto de documentos de cobertura, todos redactados dentro del Grupo de trabajo IETF OAuth.

3 - Ofertas de libros de API nórdicas

Las API nórdicas se han establecido como líderes de opinión en el espacio de las API durante algún tiempo. Para aquellos que buscan profundizar en temas relacionados, esta gran selección de libros electrónicos gratuitos puede ser un buen punto de partida para una visión más integral de temas que incluyen arquitecturas de microservicios, metodologías de seguridad de API y lenguajes y marcos emergentes.

4 - Centro de conocimiento de IBM

IBM es un monolito en la industria, por lo que cualquier consejo que tengan que dar suele ser algo a lo que prestar atención. Además de su contenido de centro de conocimiento generalmente asombroso, han escrito una excelente introducción a los conceptos de OAuth 2.0 que es relativamente autorizada y sirve como punto de entrada al resto de sus recursos.

5 - Biblioteca de contenido de Okta

Okta es un gran nombre en el ámbito de la seguridad, por lo que no es de extrañar que tengan una amplia documentación detrás de sus ofertas. Si bien gran parte de su biblioteca de contenido se sumerge en métodos y soluciones de aplicación de Okta específicos, también hay una gran cantidad de información de seguridad específica, tutoriales de conceptos de seguridad de API y explicaciones generales de temas de seguridad.

6 - APIacademy

APIacademy tiene una maravillosa colección de recursos para desarrolladores de API. Además de una gran cantidad de libros y guías, el sitio ofrece amplios recursos de audio y video que explican conceptos clave, sistemas de seguridad y discusiones complejas sobre diseño funcional y comercial.

7 - APIsecurity.io

APIsecurity.io es una gran fuente de contenido de seguridad API. Los temas cubiertos incluyen vulnerabilidades, noticias importantes y más. APIsecurity.io también tiene una maravillosa API Security Encyclopedia , que define una amplia gama de términos y conceptos en el ámbito de la seguridad.

8 - Biblioteca de recursos de Curity

La biblioteca de recursos de Curity ofrece una gran cantidad de documentación categorizada por áreas de interés. Centrándose en enfoques arquitectónicos, casos de uso, soluciones de desarrollo y modelos y prácticas de operación e implementación, esta biblioteca es una gran cantidad de información para OAuth 2.0 y temas asociados.

9 - La API de API Evangelist.

Si bien el API Evangelist en sí ya es un gran recurso, las lecciones de API 101 proporcionadas en la página API.Lessons son una buena introducción a lo que es una API. Si bien aquellos en la industria tienden a dar por sentada la definición de una API, este es un recurso increíble para usar en conversaciones sobre API, especialmente en el contexto del desarrollo empresarial. También hay una gran cantidad de informes técnicos publicados por API Evangelist que brindan más detalles sobre una amplia gama de temas.

10 - La página de inicio de RFC del IETF

Gran parte del espacio de API está impulsado por el panorama de RFC. Afortunadamente, hay un poderoso sistema de búsqueda y un rastreador de datos proporcionado por el IETF para buscar e investigar estas RFC.

11 - Web programable

ProgrammableWeb a menudo se ve como un gigante de información sobre las API, y por una buena razón, su directorio de API es increíblemente grande y detallado. Además de este gran recurso para las API en general, su cobertura de las noticias de API es una fuente con la que cualquier administrador o desarrollador de API debería familiarizarse. Su API University cuenta con una serie de 11 partes Comprender la realidad de la seguridad API , una base sólida para muchos conceptos de seguridad difíciles.

12 - Cualquier API

Cualquier API es una gran colección de documentación y consolas de prueba para un montón de API públicas. Al sumergirse en los conceptos de seguridad, a menudo es mejor verlos en acción: tener una gran cantidad de API con las que probar las llamadas proporciona mucho para este fin. Las API públicas a menudo tendrán algunas advertencias e implementaciones de seguridad muy específicas, por lo que este es un gran recurso para ver cómo se ve un plan de seguridad de API "en la naturaleza".

13 - La página de preguntas y respuestas de OpenID Connect

Uno de los mejores recursos de OpenID Connect es, como era de esperar, la documentación de OpenID Foundation. Esta página de preguntas frecuentes y preguntas y respuestas va un poco más allá de la documentación estándar y responde a muchas de las preguntas que parecen surgir en torno a este tema; es un gran recurso para aclarar.

14 - Imprimadores de seguridad de Red Hat

Red Hat es un actor importante en el espacio empresarial, por lo que todo lo que tengan que decir sobre las API y la seguridad de las API debe tomarse con el peso adecuado. Si bien su guía general para la seguridad de API es lo suficientemente decente, sus recursos adicionales componen esta oferta al sumergirse en conceptos como seguridad de TI continua, administración de API y agilidad empresarial, y más.

15 - OWASP

OWASP, o el Proyecto de seguridad de aplicaciones web de código abierto, es una organización dedicada a desarrollar guías, metodologías y tecnologías de seguridad de código abierto. Hasta este punto, su wiki es bastante interesante y ofrece una amplia gama de información.

16 - La base de datos de artefactos de investigación de CSA

Cloud Security Alliance es una organización dedicada específicamente a promover la seguridad de las aplicaciones en la nube y las API. Su colección de artefactos de investigación incluye documentos técnicos, informes y modelos, entre otros, que se proporcionan de forma gratuita.

17 - "Introducción a las API" de Zapier

Zapier ha creado un montón de guías, pero quizás una de las mejores (aunque solo sea por su simplicidad) es Introducción a las API. Esta guía se sumerge en una gran cantidad de conceptos básicos sobre las API y se sumerge muy bien en conceptos amplios como protocolos, autenticación e implementación.

18 - Documentación de SCIM

Aunque es específico para un cierto subconjunto de conceptos de seguridad, SCIM, o la especificación del Sistema para administración de identidades entre dominios, es una especificación bastante popular y, a veces, compleja. La documentación proporcionada aquí es amplia y debería ayudar a expresar no solo para qué está diseñado SCIM, sino también los modelos y diseños básicos sobre los que SCIM hace lo que hace.

19 - Guías de seguridad de la API de CA Technologies

Si bien se trata de una colección de anuncios de algún tipo, es un recurso recomendado por dos razones muy específicas. CA Technologies ofrece muchas soluciones comunes que son aprovechadas por industrias reguladas, por lo que para muchos, lo que tienen que decir sobre cosas como el control de acceso es notable. En segundo lugar, su cobertura extendida en su blog ofrece una gran comprensión de conceptos como el manejo de enlaces JSON , que a menudo son temas importantes para iniciar conversaciones sobre vulnerabilidades y exposiciones en el espacio moderno.

20 - Biblioteca WSO2

La biblioteca WSO2 es un recurso maravilloso para el desarrollo de API de código abierto y conceptos de seguridad. Además de algunos artículos específicos (como este gran artículo sobre la gestión de identidad federada ), el conocimiento general y la sabiduría compartidos aquí son extremadamente valiosos.

21 - restfulapi.net

Restfulapi.net sirve como una excelente guía básica para los conceptos REST en general, pero tiene una guía particularmente buena que se enfoca completamente en los conceptos de seguridad en el espacio RESTful .

Conclusión

Esta lista no pretende ser exhaustiva; es un excelente punto de partida para comprender algunos conceptos básicos de API, pero debe complementarse con recursos recién descubiertos y proveedores confiables por igual. ¿Nos perdimos algo importante? ¡Háganos saber en los comentarios a continuación compartiendo su recurso!



Publicar un comentario

0 Comentarios