HCLSoftware 推出解决方案

-HCLSoftware 推出 HCL AppScan API Security

综合性 API 安全解决方案，旨在帮助各组织有效管理 API 资产，同时将风险降至最低。

印度诺伊达 2025 年 4 月 24 日 /美通社/ -- 企业软件解决方案领域的全球领军企业 HCLSoftware 今天宣布，与 Salt Security 合作推出 HCL AppScan API Security。 这一综合性 API 安全项目使各组织能够有效地管理所有 API 资产，并确保其持续提供业务价值，同时不会导致风险水平上升。

HCL AppScan API Security 旨在减少安全盲点，即使用经过专业培训、引入 AI 的发现平台来查找和记录所有 API 资产，确保运行时和开发中的企业 API 标准，并与动态分析无缝集成，以精确定位和修复漏洞。 

应用程序编程接口（API）正在迅速改变数字格局，API 现在占到所有网络流量的 50%以上。 API 可促进应用程序之间的无缝通信，现在还被用于驱动云服务、移动应用程序和物联网（IoT）设备。 但是，所有这些流量同时使 API 成为可被不良行为者利用的优先攻击矢量，各组织现在就面临一系列全新的安全挑战。

HCLSoftware 执行副总裁 Rajesh Iyer 表示：“对 API 日益增强的依赖使强有力的 API 安全成为客户在董事会层面都高度重视的问题，他们都希望改善安全态势并保护数字生态系统。”

与前几年相比，2023 年的 API 攻击总数以及与 API 漏洞相关的数据泄露占比均大幅增加。 这一趋势仍在继续。 在 Salt Security 最近发布的 2024 年《API 安全状况》报告中，37%的受访组织报告称经历过 API 相关安全事件——该比例是去年的两倍。 仅在 2024 年的前 6 个月，各类新闻机构就已报道涉及多个行业的 API 相关大规模攻击，包括社交媒体和文件共享平台、科技企业和电子商务网站等，数百万用户的数据因此遭到泄露。

API 已经无处不在，以至于许多公司甚至不知道自己正在使用的 API 数量。 大中型组织所使用的 API 可以轻松达到数以百计。 API 目前在各行各业都扮演着多种角色，最明显的是在线购物、媒体交付、支付网关、工作流程自动化、微服务、软件开发等功能。 这意味着保护 API 的第一步是收集所使用 API 的完整及准确清单。

“HCL AppScan API Security 的一项关键能力是能够持续发现和记录组织中的整个 API 库存。”HCL AppScan 首席技术官 Colin Bell 表示， “这使安全团队能够深入了解其整体安全态势。”

API 攻击的上升趋势促使开放式 Web 应用程序安全项目组织（OWASP）创立了 OWASP API Security Top 10 榜单——其中列出与 API 具体相关的最重要安全风险。 该榜单旨在帮助各组织了解和降低与 API 漏洞相关的风险。 其中包括各组织在保护 API 时应重点关注的关键领域，例如对象级授权损坏（BOLA）、过度数据暴露和安全配置错误等。 根据 Salt Security 的 2024 年《API 安全状况》报告， 80%的攻击尝试采用一种或多种 OWASP API Top 10 榜单所列的方法，但只有约 58%的受访者将安全工作重点放在此榜单上。

“随着 API 安全事件增多和监管监督加强，各组织需要在 API 生态系统中实现持续合规。”Salt Security 首席运营官兼联合创始人 Michael Nicosia 表示， “通过将 HCL AppScan 强大的扫描功能与 Salt Security 的实时治理和攻击面可见性相结合，包括我们对无文档和影子 API 的发现，我们可对整个 API 环境建立统一的洞察并加深可见度。 这使企业能在整个 API 生命周期中主动识别风险，并对 PCI DSS、GDPR 和 HIPAA 等核心标准保持合规。”

HCL AppScan API Security 确保 100%覆盖 OWASP API Security Top 10 榜单，并为各组织提供众多功能，以实现更强大的 API 安全性，包括：

• 使用经过专业培训、引入 AI 的 API 发现平台减少安全盲点

• 发现并记录所有 API，包括影子和僵尸 API

• 精确定位正在传输的敏感数据，并确保符合相关法规（例如 GDPR、HIPAA 和 PCI DSS ）

• 将 API 关联到所有者和功能

• 对整个 API 领域的安全态势建立洞察

• 借助基于 AI 的洞察来评估和优先处理风险最高的 API 资产，以确保在运行时和开发中的企业 API 标准

• 利用预先构建的策略模板和丰富的 API 策略库落实行业最佳实践

• 集成特定于 API 的 DAST 漏洞测试，并通过最新的规格、业务逻辑和 API 配置数据提高准确性