可以说，API（Application-Programming-Interface，应用程序编程接口）是当今数字世界的基础设施。无论是云上应用，还是物联时代，API都是SaaS和web应用程序的关键组成部分，尤其随着云原生的发展，API的应用会越来越广泛。相应的，API已为攻击者的重要目标，众多数据泄露事件都与API的安全问题有关。在数字化转型浪潮的今天，没有安全的API，创新和发展都无从谈起。

　　7月23日，星阑科技发布了新产品萤火“API-Intelligence”安全分析平台。该产品聚焦API安全，采用“大数据分析+异步实时阻断”的方式，提供全景化API识别、API高级威胁检测、复杂行为分析等能力，构建全生命周期的API运行保护体系。

　　作为一家人工智能、信息安全领域的双料科技公司，星阑科技利用自身专业的技术团队和丰富的网络安全经验，选择了API安全作为数字时代的安全体系基石。在信息化社会，API已经无所不在，支撑着网络和应用的飞速发展。但API的安全问题长久以来却一直得不到足够重视，在这个灰色地带中，各类风险正在不断扩大。

　　星阑科技CEO王郁认为，在全球加速迈向数字经济的时代，API面临的环境比传统的Web安全更为复杂，API安全是一个交叉方向上的新生安全问题，其面临的10大安全问题包括：无效的对象级授权、无效的用户身份认证、过度的数据暴露、资源缺乏和速率限制、无效的功能级授权、批量分配、安全配置错误、注入、资产管理不当、日志和监视不足。涉及到的安全场景包括数据安全、业务安全等。

　　“万物互联时代，API是承载应用数据交换的‘血液’。”王郁强调。但当前API安全面临着种种挑战：API数量快速增长，攻击面不断扩大；API安全的实践经验匮乏；外部环境不断变化带来的合规性挑战。为此，在万物互联的未来，我们需要用数据智能的方法去解决复杂的API安全问题，萤火产品的出发点就是构建面向复杂行为的API防护体系。通过以API为切入点， 实现API上面各种载体的安全性。王郁认为，API的安全价值转化和传统的安全思路有非常大的差异，API安全的价值转化是纵向的，即以API为能量入口，构建解决不同场景问题的API的安全应用和服务，纵向转化成不同场景下的安全价值，最终解决数据安全、应用安全的问题。

　　星阑科技CTO徐越对萤火安全分析平台进行了详细介绍。萤火平台可以实现对API使用情况的实时监控，异常访问的可视化。对流量中的API自动聚合、分类、自定义标签化管理；并以树状图的方式便于管理员进行探索和调查从而实现API统一管控。通过汇集一线红队与Star-Cross Portal实验室的漏洞研究成果，全方位发现API的Web漏洞、应用漏洞、协议漏洞以及数据泄露风险，提供修复方案与加固建议，防患于未然。还能基于企业级大数据分析平台以及机器学习数据实体识别算法，提供符合ISO PI PII标准以及金融、政府、通信行业细分标准的敏感数据实体识别与分类分级能力，并在此基础上针对API恶意攻击事件、数据泄露事件、撞库攻击进行实时告警，使企业能够从容应对漏洞攻击、黑客入侵、数据泄露以及账号滥用风险。此外，产品通过AI驱动的数据模型分析每一次API调用，区分正常访问与恶意攻击，自动更新防御逻辑，联动API网关实现毫秒级攻击拦截，在不影响业务的可用性与性能的前提下，主动屏蔽99%以上的攻击向量。

发布会还邀请了资深行业专家，以主题演讲和圆桌论坛的形式，围绕API安全态势和发展，进行了解读和分享。

　　中国计算机学会计算机安全专委会荣誉主任严明：对数据要素掌控和利用能力，已成为衡量国家之间竞争力的核心要素。数据安全是网络安全、社会安全乃至国家安全不可或缺的关键要素，而数据安全保护中，API安全是一个常见但又不为人熟知的挑战，需要安全服务商提供更强有力的技术支持和服务保障。

　　苹果资本创始人胡洪涛：对应现实世界，API就像随处可见的道路，它是数字世界的基础设施，重要程度不言而喻。很多API通信标准，例如RESTful API，已经在物联网、微服务、云原生等场景都得到了非常广阔的应用。根据Adroit市场报告显示，到2028年API管理市场总规模216.8亿美金，其中API安全占了30%，API安全市场具有无限的潜力。

　　360政企安全集团首席战略官潘柱廷：API安全已日渐成为网络应用方面的主要技术需求之一。未来，开发人员需要进一步加大对于API业务模型、分析能力、技术蓝图、以及合规性与标准化方面的深入研究与开发。

　　腾讯安全玄武实验室负责人于旸：星阑此次发布的API安全产品萤火，在弥补传统安全方案中不足的同时解决了新兴的API安全风险，解决了传统API安全网关的部署与维护成本高的问题，符合当今技术发展趋势，具有非常重要的意义。

　　华为云首席安全生态官万涛：云原生是必然的IT演进趋势，在数据交互的方式上API占比将越来越高，云时代下，API出了问题，不仅会影响用户的使用体验，威胁个人的隐私安全，也会使企业面临数据安全风险。所以，在云原生时代下做好API安全至关重要。

　　元起资本创始管理合伙人何文俊：从投资角度看安全产业的发展有三个维度，第一是有没有新的IT对象需要被保护，第二是行业是否会出现新的安全机会，第三是安全攻防技术的演进和迭代。API安全问题符合第一个特征，未来市场对API安全的需求会不断增加，前景看好。

　　数世咨询创始人李少鹏：无论在国内还是国际上，API安全日渐成为网络应用方面的主要技术需求之一。研发人员需要进一步加大对于API业务模型、分析能力、技术蓝图、以及合规性与标准化方面的研究与开发。

　　“聪者听于无声，明者见于未形”，API安全这个新赛道在充满挑战的同时，也充满无限可能。王郁在总结中表示，未来在复杂的API生态体系下，星阑科技将以用户需求为指引，进行更多的技术创新和场景落地，推出更多新产品，不仅从技术层面做好API安全的防护工作，并且注重对于API监管和合规价值的转化，以满足更多各行各业用户的安全需求，“让智能化的安全能力守护用户的每一次网络调用”。