尽管在系统生命周期(SDLC)和测试工具方面进行了改进,但该报告强调了API漏洞的令人沮丧的现状。通常,在急于将API 安全推向市场的过程中,API 安全被降级为事后的考虑,并不被得到重视,许多组织依赖传统的网络安全解决方案,这些解决方案并非能够保护 API 可能引入的广泛攻击。
Akamai安全研究员兼《互联网安全状况报告》作者Steve Ragan指出:“从遭到破坏的身份验证和注入缺陷,到简单的错误配置,任何构建联网应用程序的人都会面临不计其数的API安全问题。企业无法充分检测API攻击,即使检测到此类攻击,也可能会被漏报。DDoS攻击和勒索软件都是企业关注的重要问题,而API攻击并没有得到同等程度的关注,这在很大程度上是因为,犯罪分子使用API发起的攻击无法像执行到位的勒索软件攻击那样引发轰动效应,但这并不意味着应该忽视API攻击。”