我們想知道您的想法 透過做一個簡短的調查來幫助我們改進這個網站。 長話短說 由於 API 是我們工作的核心,服務創新實驗室一直與內政部政府企業架構師小組密切合作(外部連結)(DIA) 探索未來 API(應用程式介面)的安全和控制模型,以實現更大的彈性、靈活性和快速適應快速變化環境中真正風險的能力。我們明天將舉辦「技術檢查」活動,歡迎您加入我們的討論(外部連結)。 本文介紹了一種對 API 安全需求進行分類的簡單方法,包括: 從技術/API 團隊的角度概述消費性政府 (API) 和安全性。 旨在幫助從業者快速做出 API 可存取性和安全決策的簡單模型。 一個核心概念本質上是:「如果某些東西需要保密,那麼使用不同的控制層來保護它,否則使其開放(但仍然遵循並跟上當前的網路安全準則)」。
因此,我們認為 API 團隊需要一種簡單的方法來快速對其 API 進行分類。與紐西蘭政府 API 標準文件(2017 年 5 月 27 日發布)一致且互補的方法,即API 標準和指南 A 部分 - 業務(外部連結)和B 寮國 電話號碼 部分 - 技術(外部連結)。 「API」—數位政府的基石 出於這項工作的目的,我們使用 API 作為模組化系統的所有程式介面的廣義術語。如果正確使用和保護 API,API 的承諾將具有變革性。更輕鬆地獲取權威資料、隨時獲取業務規則以及透過網路上的使用者體驗存取政府交易服務的能力意義重大。來自無數提供者的基於用戶需求的動態和整合服務的機會為日益複雜的社會創造了指數級的回應。 在進入數位世界時,人們傾向於嘗試使一切盡可能安全,但對 API 採用的不適當障礙會破壞重複使用和創新的機會。
我們必須找到與商業部門一致的適當平衡,並且在部署 API 時,尤其是當它們是開放資訊或系統的介面時,這種平衡必須傾向於最小可行的障礙。例如,對於業務規則、公共資料或簡單的交易服務(例如報告坑洞),擁有可重複使用的開放API 將為機構和社會提供更好的服務,而對於更複雜的交易(例如更新護照以擁有和使用一系列數據)商定且一致的安全措施。 API 安全需求分類 我們認為 API 是以下一項或多項,它們: 告訴你點事 告訴你一些事情,如果告訴錯誤的人,可能會造成傷害 做一點事 做一些事情,如果被錯誤的人要求或歸還給錯誤的人,可能會造成傷害。 這些類別(映射到下圖中的安全性類型)提供了一個簡單的經驗法則,用於判斷 API 是否屬於危害類別。
發表於 17:10:25
