主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
行业标准报告
了解行业标准报告。
OWASP API Security Top 10 2019 报告
对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      可生成问题的定制报告（PDF、HTML 或 XML 格式）并将这些报告发送给开发人员、内部审计员、渗透测试员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告可记录针对法规一致性目标的进度，例如显示与一致性问题关联的应用程序数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
    - 行业标准报告
      了解行业标准报告。
      - “国际标准 ISO 27001”报告
        此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。
      - “国际标准 ISO 27002”报告
        此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。
      - “NERC 网络安全标准”报告
        此报告显示在您站点上发现的 NERC 网络安全标准问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “NIST 专刊 800-53 修订版 4”报告
        此报告显示在您站点上发现的 NIST 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - OWASP Top 10 2021 报告
        OWASP Top 10 是面向开发者和 Web 应用程序安全性的标准认知文档。它代表了对 Web 应用程序的最关键安全风险的广泛共识。
      - OWASP API Security Top 10 2019 报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - CWE 最危险的 25 个软件弱点 (CWE Top 25) 报告
        此报告显示的是可在您的站点上找到的常见弱点枚举 (CWE™) 最危险的 25 个软件弱点。CWE Top 25 报告是一项宝贵的社区资源，可帮助开发者、测试人员和用户（以及项目经理、安全团队和团队）洞察当前最严重的安全漏洞。
      - WASC 威胁分类 V2.0 报告
        该报告会显示站点上找到的 WASC 威胁分类问题。

OWASP API Security Top 10 2019 报告

对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。

它为什么重要

API 的威胁格局在不断发生变化。API 会暴露应用程序逻辑和个人可识别信息 (PII) 等敏感数据，因此成为攻击者的目标。这些因素使得 API 更加难以分析，并会明显改变威胁格局。为了跟上形势，OWASP 组织于 2019 年 12 月 31 日发布了 OWASP API Security Top 10 报告，该报告将重点放在旨在了解和缓解 API 独有漏洞和安全风险的策略和解决方案上。

OWASP API Security Top 10 漏洞

ID	名称
API1	失效的对象级别授权
API2	失效的用户认证
API3	过度的数据暴露
API4	缺乏资源和速率限制
API5	失效的功能级别授权
API6	批量分配
API7	安全性错误配置
API8	注入
API9	资产管理不当
API10	记录和监控不足