|
1 | | -# Methodology and Data |
2 | | - |
3 | | -## Overview |
4 | | - |
5 | | -For this list update, the OWASP API Security team used the same methodology used |
6 | | -for the successful and well adopted 2019 list, with the addition of a 3 month |
7 | | -[public Call for Data][1]. Unfortunately, this call for data did not result in |
8 | | -data that would have enabled a relevant statistical analysis of the most common |
9 | | -API security issues. |
10 | | - |
11 | | -However, with a more mature API security industry capable of providing direct |
12 | | -feedback and insights, the update process moved forward using the same |
13 | | -methodology as before. |
14 | | - |
15 | | -Arrived here, we believe to have a good forward-looking awareness document for |
16 | | -the next three or four years, more focused on modern APIs-specific issues. The |
17 | | -goal of this project isn't to replace other top 10 lists, but instead to cover |
18 | | -the existing and upcoming top API security risks that we believe the industry |
19 | | -should be aware and diligent about. |
20 | | - |
21 | | -## Methodology |
22 | | - |
23 | | -In the first phase, publicly available data about API security incidents were |
24 | | -collected, reviewed, and categorized. Such data were collected from bug bounty |
25 | | -platforms and publicly available reports. Only issues reported between 2019 and |
26 | | -2022 were considered. This data was used to give the team a sense of in which |
27 | | -direction the previous top 10 list should evolve as well as to help deal with |
28 | | -possible contributed data bias. |
29 | | - |
30 | | -A public [Call for Data][1] ran from September 1st and November 30th, 2022. In |
31 | | -parallel the project team started the discussion about what has changed since |
32 | | -2019. The discussion included the impact of the first list, feedback received |
33 | | -from the community, and new trends of API security. |
34 | | - |
35 | | -The project team promoted meetings with specialists on relevant API security |
36 | | -threats to get insights into how victims are impacted and how those threats can |
37 | | -be mitigated. |
38 | | - |
39 | | -This effort resulted in an initial draft of what the team believes were the ten |
40 | | -most critical API security risks. The [OWASP Risk Rating Methodology][2] was |
41 | | -used to perform the risk analysis. Prevalence ratings were decided from a |
42 | | -consensus among the project team members, based on their experience in the |
43 | | -field. For considerations on these matters, please refer to the [API Security |
44 | | -Risks][3] section. |
45 | | - |
46 | | -The initial draft was then shared for review with security practitioners with |
47 | | -relevant experience in the API security fields. Their comments were reviewed, |
48 | | -discussed, and when applicable included in the document. The resulting document |
49 | | -was [published as a Release Candidate][4] for [open discussion][5]. Several |
50 | | -[community contributions][6] were included into the final document. |
51 | | - |
52 | | -The list of contributors is available in the [Acknowledgments][7] section. |
53 | | - |
54 | | -## API Specific Risks |
55 | | - |
56 | | -The list is built to address security risks that are more specific to APIs. |
57 | | - |
58 | | -It does not imply that other generic application security risks don't exist in |
59 | | -API based applications. For example, we didn't include risks such as "Vulnerable |
60 | | -and Outdated Components" or "Injection", even though you might find them in API |
61 | | -based applications. These risks are generic, they don't behave differently in |
62 | | -APIs, nor their exploitation is different. |
63 | | - |
64 | | -Our goal is to increase the awareness of security risks that deserve special |
65 | | -attention in APIs. |
| 1 | +# Metodologia e Dados |
| 2 | + |
| 3 | +## Preâmbulo |
| 4 | + |
| 5 | +Para esta atualização da lista, a equipa de Segurança de API da OWASP utilizou a |
| 6 | +mesma metodologia adotada com sucesso para a lista de 2019, com a adição de um |
| 7 | +[Pedido Público por Dados][1] de 3 meses. Infelizmente, este pedido não resultou |
| 8 | +em dados que permitissem uma análise estatística relevante sobre os problemas de |
| 9 | +segurança de API mais comuns. |
| 10 | + |
| 11 | +Contudo, com uma indústria de segurança de API mais madura e capaz de fornecer |
| 12 | +feedback e informações diretamente, o processo de atualização avançou usando a |
| 13 | +mesma metodologia de antes. |
| 14 | + |
| 15 | +Chegados a este ponto, acreditamos ter um bom documento de consciencialização |
| 16 | +para os próximos três ou quatro anos, mais focado nas questões específicas das |
| 17 | +APIs modernas. O objetivo deste projeto não é substituir outras listas de top |
| 18 | +10, mas sim cobrir os principais riscos de segurança de API atuais e emergentes, |
| 19 | +sobre os quais acreditamos que a indústria deve estar atenta e ser diligente. |
| 20 | + |
| 21 | +## Metodologia |
| 22 | + |
| 23 | +Na primeira fase, dados publicamente disponíveis sobre incidentes de segurança |
| 24 | +em APIs foram recolhidos, revistos e categorizados. Esses dados foram obtidos de |
| 25 | +plataformas de _bug bounty_ e relatórios públicos. Apenas problemas reportados |
| 26 | +entre 2019 e 2022 foram considerados. Esses dados ajudaram a equipa a entender |
| 27 | +em que direção a lista de top 10 anterior deveria evoluir, assim como a lidar |
| 28 | +com possíveis vieses dos dados contribuídos. |
| 29 | + |
| 30 | +Um [Pedido Público por Dados][1] foi realizado de 1 de Setembro a 30 de Novembro |
| 31 | +de 2022. Em paralelo, a equipa do projeto iniciou a discussão sobre o que mudou |
| 32 | +desde 2019. A discussão incluiu o impacto da primeira lista, o feedback recebido |
| 33 | +da comunidade e novas tendências na segurança de APIs. |
| 34 | + |
| 35 | +A equipa do projeto promoveu reuniões com especialistas sobre ameaças relevantes |
| 36 | +à segurança de APIs para obter informações sobre como as vítimas são impactadas |
| 37 | +e como essas ameaças podem ser mitigadas. |
| 38 | + |
| 39 | +Este esforço resultou num rascunho inicial do que a equipa acredita serem os dez |
| 40 | +riscos mais críticos de segurança para APIs. A [Metodologia de Classificação de |
| 41 | +Risco da OWASP][2] foi utilizada para realizar a análise de riscos. As |
| 42 | +classificações de prevalência foram decididas por consenso entre os membros da |
| 43 | +equipa do projeto, com base na sua experiência na área. Para considerações sobre |
| 44 | +esses temas, consulte a secção [Riscos de Segurança em APIs][3]. |
| 45 | + |
| 46 | +O rascunho inicial foi então compartilhado para revisão com profissionais de |
| 47 | +segurança com experiência relevante na área de segurança de APIs. Os seus |
| 48 | +comentários foram analisados, discutidos e, quando aplicável, incluídos no |
| 49 | +documento. O documento resultante foi [publicado como uma Versão Candidata][4] |
| 50 | +para [discussão aberta][5]. Várias [contribuições da comunidade][6] foram |
| 51 | +incorporadas no documento final. |
| 52 | + |
| 53 | +A lista de contribuidores está disponível na secção de [Agradecimentos][7]. |
| 54 | + |
| 55 | +## Riscos Específicos de APIs |
| 56 | + |
| 57 | +A lista foi elaborada para abordar riscos de segurança que são mais específicos |
| 58 | +para APIs. |
| 59 | + |
| 60 | +Não implica que outros riscos genéricos de segurança de aplicações não existam |
| 61 | +em aplicações baseadas em APIs. Por exemplo, não incluímos riscos como |
| 62 | +"Componentes Vulneráveis e Desatualizados" ou "Injeção", embora você possa |
| 63 | +encontrá-los em aplicações baseadas em APIs. Esses riscos são genéricos, não se |
| 64 | +comportam de forma diferente em APIs, nem a sua exploração é diferente. |
| 65 | + |
| 66 | +O nosso objetivo é aumentar a conscientização sobre os riscos de segurança que |
| 67 | +merecem atenção especial em APIs. |
66 | 68 |
|
67 | 69 | [1]: https://owasp.org/www-project-api-security/announcements/cfd/2022/ |
68 | 70 | [2]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology |
|
0 commit comments