Как можно безопасно хранить ключи API?

[asikurrahmanshuvo]

В мире, где технологические стеки переходят на продукты SaaS и используют более компонуемую архитектуру, ключи API становятся критической уязвимостью безопасности, поскольку они могут позволить злоумышленникам поставить под угрозу данные, которые ваши клиенты доверяют вам защищать. В результате, наличие способа безопасного хранения этих ключей API имеет важное значение для защиты данных пользователей и компании. И хотя существует множество способов сделать это, мы рассмотрим некоторые распространенные вопросы, касающиеся защиты ваших ключей API, и как вы можете к этому подойти.

Когда дело доходит до получения ключей API, они обычно копируются и вставляются как простые строки в простые текстовые файлы. Традиционно команды справляются с этим двумя основными подходами:

Сохраните их в .envфайле.
Не помещайте их в репозиторий кода.
При таком подходе секреты обычно ограничиваются локальной средой и защищаются (по крайней мере, частично).

Однако этот подход обычно имеет два уязвимых места:

В случае, если кто-то случайно удалит файл или предоставит британский ресурс whatsapp к нему доступ не тому человеку, ваши данные и инфраструктура окажутся под угрозой и/или будут уязвимы.
Кроме того, тот факт, что ключи можно прочитать как обычный текст, также выявляет дополнительный недостаток безопасности, поскольку любой может увидеть и/или изменить ключи независимо от того, должен ли он иметь к ним доступ или нет.
Вместо того чтобы хранить их в обычном текстовом файле, разве не было бы здорово, если бы мы могли лучше контролировать, как они хранятся?

Фактически, согласно отчету 2022 API Security Trends Report от 451 Research, 41% опрошенных организаций столкнулись с инцидентом безопасности API за последние 12 месяцев, и плохие практики, проблемы с аутентификацией и неправильные конфигурации были одними из самых упоминаемых проблем.

Основные проблемы безопасности API, ранжированные организациям