新思科技“把脉”API安全

现代系统依赖于通过各种网络公开的API的复杂系统。基本上每天，数以亿计的API被各种APP或者网站调用。随着API数量增加，使用更频繁，API的管理和安全控制难度也增大。首先，我们应该了解什么是API安全，它如何融入到整体的安全计划？所有应用程序都使用API。如今，供应商提到的“ API安全”是指这些API的子集 —— 通过网络公开的那些API。就本质而言，这些网络公开的API使信息能够自由传递以及在软件组件之间进行交互。进一步考虑，单个API端点可能最终会同时处理前端和后端请求。应用程序安全主管可以做出的一个决定是，推动使用API，以明确记录提供商和使用者应承担的安全责任。由架构决策支持的安全控制，对于在API安全的环境中的应用程序开发而言相对较新。

星巴克因员工重大疏失，导致内部系统API密钥置于GitHub公开文件夹

不知名的星巴克员工不慎将公司内部网站的API密钥留在GitHub公开文件夹上，差点给了黑客访问公司内部网络，修改授权用户的名单或接管账号的机会。发现漏洞后，研究人员立即通报HackerOne漏洞通报及奖励平台。星巴克接到通报4天后移除了文件夹，并注销了API密钥。星巴克审查后将此漏洞列为“重大信息泄露”，对漏洞修补过程“感到满意”，因此颁发Kumar 4,000美元的奖金。去年8月星巴克也曾在一台废弃不用的Azure主机上，留下子域名的DNS pointer未删除，使未来注册该主机的用户可接收该子域名的信息。

技术指南 | 如何跨平台使用IPFS Lite？

IPFS Lite是一个仅提供与IPFS网络交互的基本功能的库：创建新数据和获取现有数据。对于希望直接在其代码、应用程序中嵌入IPFS功能的应用程序来说，IPFS Lite是一个不错的选择。Textile越来越依赖IPFS Lite，因此我们希望提供一些新的IPFS Lite库，以在Textile运行的所有平台上启用相同的API。我们将继续开发并围绕这些库来构建，但也希望尽早开放它们，以便其他人可以尝试，并提供反馈，帮助我们使它们变得更好、更快、更轻巧。在Textile，我们已经在移动端和浏览器端的基础设置中研究IPFS有一段时间了…大多数情况下，浏览器或移动DApp仅需要能够通过IPFS网络，添加和获取少量的数据。今天，我们发布了一组新的IPFS Lite库。我们从简单开始，希望以此跨平台版本来评估兴趣并早日获得反馈。如果你对应包括和不应该包括的内容有任何意见，请让我们知道或发送PR！