Eoapi x OpenDLP 插件上线:扫描 API 敏感字段,让你的 API 更安全

本文涉及的产品
数据安全中心,免费版
简介: 最近我们看到一个更严峻的趋势,越来越多的 API 导致了非常严重的数据泄露。数据泄露对企业来讲,尤其是大型企业,以及关系到民生或基础设施的企业,他们一次大范围的数据泄露是非常致命的,可能不仅仅是业务上损失,还会涉及到监管层面。

近日,开源 API 管理工具的Eoapi 与哈尔滨工业大学(深圳)数据安全研究院发起的开源项目 OpenDLP,联合发布了合作插件——OpenDLP API 安全检查,小小插件能为 API 安全做什么呢?


企业安全关注的事情很多,API 安全目前来讲是一个非常新兴的,但是非常重要的一个热点。软件世界数据通信万物互联的背景下,从我的视角来看,API 是一种新的能够更低成本去让数据打通,让软件集成融为一体,以及在某种程度上甚至能够以一种更好的生产方式,快速完成企业软件交付的一种新模式。大家也已经看到,各行各业的企业都已经在做一些做业务或者做 API 化的战略转型,其实就在 API 里面。


基础设施增长的背后,一定也会带来安全问题。我们讲的黑客攻击,以利益为主导的黑客攻击它无非就是想控制你的资产,或者想偷你的数据,而 API 这两点它是都具备。


一方面,API 本身是暴露在网络上的,相当于软件构建的系统,对网站攻击的手法完全可以应用到 API 的场景里。API 的后端,比如一些 Java 的代码,也是各种各样的系统,这些系统它存在的漏洞,也可以通过 API 打进去,最终导致自己的资产实现。这是传统攻防领域的情况。


最近我们看到一个更严峻的趋势,越来越多的 API 导致了非常严重的数据泄露。数据泄露对企业来讲,尤其是大型企业,以及关系到民生或基础设施的企业,他们一次大范围的数据泄露是非常致命的,可能不仅仅是业务上损失,还会涉及到监管层面。


以前的数据泄露事件,要层层攻击,从外网到内网到数据库打进去,打进去很费劲,最终才能把数据库的数据拖出来。现在不一样了,我们只需要找到一个没有认证授权的 API 数据,随便一个脚本就可以把数据拖出来,这是一个非常简单快速的入侵链路,但是它的杀伤力巨大。现在越来越多企业除了要面对漏洞攻击,还要面对 API 导致的数据泄露。


提高 API 安全性的手段有很多,敏感数据识别扫描就是其中之一。


OpenDLP 是一个开源的敏感数据识别工具,我们可以通过 OpenDLP 服务在 Eoapi 上对文档进行扫描,避免部署/开放带有敏感字段的 API 文档。



如何使用 OpenDLP 插件


Docker 部署 OpenDLP 服务:Docker push longice/opendlp-eoapi:1.0.0


在 Eoapi 【插件广场】-【所有】-【OpenDLP】中找到 OpenDLP 插件一键安装


01.gif


在 Eoapi 【插件广场】-【所有】-【OpenDLP】中输入 OpenDLP 服务地址,保存。


02.gifimage.gif


此时,在 API 详情页点击【扫描 API 敏感词】。


03.PNG


显示当前文档敏感词扫描结果:


04.PNGimage.gif


目前内置支持 17 类敏感数据类型,可以通过自定义正则支持更多类型的识别。对于有地区和语言差异的类型,目前都是支持中国大陆地区、简体中文。具体敏感数据类型如下:



字段.pngimage.gif



关于 Eoapi

Eoapi 是一款类 Postman 的开源 API 管理工具,它更轻量,同时可拓展。


支持基础的 API 文档和测试功能,还可以通过插件帮助你将 API 发布到各个应用平台,比如发布到网关完成 API 上线,或者和低代码平台结合,将 API 快速变成可使用的组件等。


Eolink 在 2022 年开源了 Eoapi 项目,Eoapi 建立在 Eolink 多年以来在 API 全生命周期领域的行业经验基础之上,同时希望通过开源吸收社区中最棒的想法和实践。


Github 项目:

https://github.com/eolinker/eoapi

Gitee 项目:

https://gitee.com/eolink_admin/eoapi

Demo:

http://www.eoapi.io/?utm_source=al&utm_campaign=gf&utm_content=cj02


Eoapi 将继续与其他厂家一起努力开发更多的插件,共建 Eoapi 的插件生态,让我们的用户能够通过插件,为自己搭建趁手的工具,让插件的价值实现最大化。



关于 OpenDLP


OpenDLP 开源项目由哈尔滨工业大学(深圳)数据安全研究院发起。哈尔滨工业大学(深圳)数据安全研究院致力打造新型研究与产业孵化平台,逐步孵化一批具有行业示范性的网络与数据安全高新技术企业,为国家数字化建设和网络强国建设提供有力保障。


OpenDLP 是一个敏感数据识别工具,使用正则表达式、人工智能算法、数据校验规则等多种技术对结构化数据表和 JSON 之类的半结构化数据进行字段级敏感数据识别,可以帮助企业和组织进行数据资产分类分级,保障数据安全。


正则表达式是敏感数据识别的常用技术手段,OpenDLP 的正则表达式智能生成功能能够基于提供的正、负训练样本数据,自动学习生成正则表达式,帮助提高正则表达式编写效率。


Github 项目:

https://github.com/hitsz-ids/openDLP

相关文章
|
1月前
|
存储 安全 API
如何对 API 进行安全加密?
对API进行安全加密是保障数据安全和系统稳定的重要措施
137 56
|
1月前
|
人工智能 关系型数据库 MySQL
数据魔力,一触即发 —— Dataphin数据服务API,百炼插件新星降临!
本文通过一个利用百炼大模型平台和Dataphin数据服务API构建一个客户360智能应用的案例,介绍如何使用Dataphin数据服务API在百炼平台创建一个自定义插件,用于智能应用的开发,提升企业智能化应用水平。
128 3
数据魔力,一触即发 —— Dataphin数据服务API,百炼插件新星降临!
|
2月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
242 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
3月前
|
人工智能 安全 API
API应用安全风险倍增,F5助企业赢得关键安全挑战
API应用安全风险倍增,F5助企业赢得关键安全挑战
62 11
|
3月前
|
安全 Java API
【性能与安全的双重飞跃】JDK 22外部函数与内存API:JNI的继任者,引领Java新潮流!
【9月更文挑战第7天】JDK 22外部函数与内存API的发布,标志着Java在性能与安全性方面实现了双重飞跃。作为JNI的继任者,这一新特性不仅简化了Java与本地代码的交互过程,还提升了程序的性能和安全性。我们有理由相信,在外部函数与内存API的引领下,Java将开启一个全新的编程时代,为开发者们带来更加高效、更加安全的编程体验。让我们共同期待Java在未来的辉煌成就!
72 11
|
3月前
|
安全 Java API
【本地与Java无缝对接】JDK 22外部函数和内存API:JNI终结者,性能与安全双提升!
【9月更文挑战第6天】JDK 22的外部函数和内存API无疑是Java编程语言发展史上的一个重要里程碑。它不仅解决了JNI的诸多局限和挑战,还为Java与本地代码的互操作提供了更加高效、安全和简洁的解决方案。随着FFM API的逐渐成熟和完善,我们有理由相信,Java将在更多领域展现出其强大的生命力和竞争力。让我们共同期待Java编程新纪元的到来!
117 11
|
4月前
|
安全 API 数据处理
后端开发中的API设计哲学:简洁、高效与安全
【8月更文挑战第29天】 在后端开发的广阔天地中,API(应用程序编程接口)的设计如同编织一张无形的网,连接着数据的海洋与应用的大陆。本文将深入探讨如何打造一个既简洁又高效的API,同时不忘筑牢安全的防线。我们将从API设计的基本原则出发,逐步剖析如何通过合理的结构设计、有效的数据处理和严格的安全措施来提升API的性能和用户体验。无论你是初学者还是资深开发者,这篇文章都将为你提供宝贵的视角和实用的技巧,帮助你构建出更优秀的后端服务。
|
4月前
|
JavaScript 前端开发 测试技术
[译] 用 Vue.js 3 Composition API 创建 i18n 插件
[译] 用 Vue.js 3 Composition API 创建 i18n 插件
|
5月前
|
Web App开发 数据可视化 前端开发
Chrome插件实现问题之content-scripts能访问哪些Chrome API
Chrome插件实现问题之content-scripts能访问哪些Chrome API
|
4月前
|
存储 开发框架 .NET
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
下一篇
DataWorks