Apa itu penemuan API?

Penemuan API membuat inventaris antarmuka pemrograman aplikasi (API) yang digunakan, apa yang mereka lakukan, siapa yang memiliki izin akses, dan banyak lagi. Ini juga dapat membantu menemukan API yang tersembunyi atau terlupakan—penting untuk mengurangi risiko keamanan.

API adalah bagian penting dari pengembangan perangkat lunak modern dan menyediakan pertukaran dua arah: mereka memungkinkan pengembang dan aplikasi untuk meminta data, menambahkan layanan, dan memanfaatkan kemampuan dari aplikasi lain, sekaligus memberi pemilik aplikasi cara untuk berbagi, memublikasikan, dan memasarkan produk mereka. Dengan fungsionalitas penting ini muncul kompleksitas dan kerentanan tambahan.

API management sangat penting untuk mengamankan kerentanan ini dan memastikan bahwa ekosistem API beroperasi sebagaimana dimaksud. Penting untuk mengetahui dengan tepat berapa banyak, jenis apa dan seberapa populer API, demi keamanan API, autentikasi, efisiensi, perlindungan data sensitif, dan mempertahankan visi keseluruhan tentang bagaimana aplikasi tertentu digunakan. Tetapi bagaimana pemilik aplikasi menemukan semua informasi ini? Di sinilah penemuan API berperan.

API atau antarmuka pemrograman aplikasi adalah seperangkat aturan dan protokol yang memungkinkan aplikasi dan layanan untuk berkomunikasi satu sama lain. Pada dasarnya, mereka adalah perantara yang memungkinkan aplikasi untuk menarik data secara real-time dari berbagai sumber yang berbeda. API menyediakan data cuaca di aplikasi cuaca, pembayaran yang dipercepat pada aplikasi belanja, dan peta di situs web restoran di antara banyak contoh penggunaan lainnya. Di perusahaan, API digunakan untuk mengintegrasikan alur kerja dan platform, menghubungkan layanan mikro, memfasilitasi berbagi aset, membuat aplikasi tersedia untuk pengguna pihak ketiga dan banyak lagi.

Mengingat banyaknya aplikasi yang digunakan perusahaan modern, rata-rata lebih dari seribu menurut survei Salesforce, penting bagi organisasi untuk memiliki praktik penemuan API yang kuat. Penemuan API mengacu pada proses menemukan API yang terdokumentasi dan tersembunyi, membuat direktori, dan menyusun inventaris API yang ditemukan. Ada banyak alasan mengapa penemuan API sangat penting, baik karena manfaat yang dapat diberikannya maupun kemungkinan dampak pada keamanan aplikasi jika mengabaikan proses ini. Penemuan API adalah bagian penting dalam menyusun dokumentasi API yang menyeluruh dan lengkap.

Redundansi — pembuatan beberapa instans dari fitur yang sama atau serupa yang mengacaukan dokumentasi — dapat sangat berdampak pada proses pengembangan dengan mengurangi efisiensi dan produktivitas. Singkatnya, membuat API baru yang sebenarnya bukan hal baru dapat membuang waktu dan sumber daya. Penemuan API dan dokumentasi API yang tepat dapat mengurangi kemungkinan redundansi API. Jika mudah untuk menemukan dokumentasi untuk roda, misalnya, Anda tidak perlu menciptakannya kembali.

Dengan menggunakan alat penemuan API untuk menemukan API dan menghasilkan dokumentasi API yang solid, pengembang dapat lebih memahami aplikasi dan layanan yang ada (baik internal maupun eksternal) yang dapat mereka akses dan integrasikan. Dengan menggunakan layanan dan fungsi yang sudah ada sebelumnya, pengembang dapat mempercepat produksi, memperluas kemampuan aplikasi, dan mengurangi waktu penyiapan produk.

Penemuan API memungkinkan pembuatan inventaris API yang membantu pengembang menemukan dan menggunakan layanan yang ada. Hal ini memiliki manfaat tambahan yaitu mendorong pengembang untuk mengintegrasikan data dan layanan aplikasi dengan menyediakan menu pilihan.

Penemuan API dan pemeliharaan katalog API yang konsisten, memungkinkan tim untuk dengan cepat dan mudah menemukan API yang ada. Ini dapat meningkatkan efisiensi, mengurangi pekerjaan yang tidak perlu dan bahkan meningkatkan alur kerja dengan memperingatkan pengembang tentang kemampuan yang mungkin belum mereka sadari.

Mempertahankan katalog API terbaru adalah cara yang bagus untuk memantau siapa yang memiliki akses ke data sensitif seperti informasi pengguna dan kunci API. Dengan menggunakan penemuan API untuk menemukan semua API yang mengakses data sensitif, pemilik aplikasi dapat lebih mudah memantau siapa yang memiliki akses ke data yang mana dan memastikan bahwa API dan aplikasi mematuhi semua hukum dan pedoman yang berlaku. Ini sangat penting mengingat prevalensi API bayangan.

Penemuan API melibatkan pengungkapan banyak detail berbeda tentang API - jenis API, apa yang mereka lakukan, data apa yang dapat mereka akses, dan masih banyak lagi - yang membantu pengembang mengidentifikasi dan lebih memahami API yang digunakan oleh organisasi. Penemuan API menghasilkan informasi tentang API, termasuk:

Protokol, arsitektur, dan format data yang didukung: Proses penemuan membantu mendokumentasikan protokol atau arsitektur apa yang digunakan API (seperti REST, GraphQL, SOAP, atau RPC) dan format data apa yang mereka terima (seperti JSON, XML, dan YAML.)

Titik akhir API: Ini adalah lokasi penyimpanan data atau layanan tertentu, biasanya ditunjukkan sebagai URL.

Autentikasi: API sering kali diamankan sehingga hanya klien, proyek, dan pengguna yang dikenali yang dapat mengaksesnya. Penemuan API membantu mengungkap spesifikasi autentikasi.

Metode dan parameter: Penemuan API menyingkap tindakan yang didukung seperti GET, PUT, DELETE, dan POST serta parameter yang diterima API.

Penemuan API dapat memainkan peran utama dalam memperkuat keamanan API. Dokumentasi dan API management yang tepat memberi pemilik aplikasi pandangan komprehensif tentang penggunaan API, yang dapat membuatnya lebih mudah untuk menemukan kerentanan keamanan. Pada gilirannya, pemilik aplikasi atau pengembang kemudian dapat memperbaiki masalah potensial.

Salah satu cara terpenting penemuan API berkontribusi terhadap keamanan API adalah dengan menemukan API tersembunyi.

Istilah “tersembunyi” tidak sepenuhnya akurat, karena API tersembunyi tidak selalu jahat. Sebagai gantinya, "API tersembunyi" mengacu pada API yang tidak terdokumentasi dan tidak disertakan dalam dokumentasi API. Ada banyak API tersembunyi yang sangat tidak berbahaya, seperti fitur pengguliran tak terbatas atau banyak fitur pelengkapan otomatis di bidang teks aplikasi web.

Meskipun demikian, bahkan API tersembunyi yang tidak berbahaya dapat menyulitkan tim keamanan. API tersembunyi, yang dikecualikan dari solusi keamanan, tidak akan tunduk pada daftar peraturan dan tindakan keamanan yang biasa dilakukan pemilik aplikasi seperti firewall. Ada banyak jenis API tersembunyi, mulai dari yang hanya dilupakan hingga yang secara aktif berbahaya, itulah sebabnya mengapa proses penemuan API sangat penting.

Meskipun tidak selalu berbahaya, API bayangan didefinisikan sebagai API yang tidak dikelola atau diamankan oleh entitas yang menggunakannya. Tanpa visibilitas API, hal ini berada di luar cakupan keamanan perusahaan dan rentan terhadap serangan.

Sebuah laporan tahun 2022 menemukan bahwa sekitar 31% transaksi berbahaya menargetkan API bayangan, menjadikannya risiko keamanan yang penting. Serangan API yang ditujukan pada API bayangan memiliki potensi untuk membahayakan data sensitif seperti informasi pengguna atau pengetahuan kepemilikan, menjadikan keamanan siber alasan besar untuk menggunakan teknik penemuan API yang baik. Tim keamanan juga tidak dapat menyediakan tambalan keamanan untuk API yang tidak mereka ketahui, yang berarti bahwa API bayangan dapat memiliki kerentanan yang tidak diketahui oleh semua orang kecuali peretas yang pintar. Ini dapat memperluas permukaan serangan atau jalan yang tersedia untuk pelaku jahat.

API bayangan muncul dari segala macam kesalahan, kekeliruan, dan kecerobohan dalam kebijakan keamanan. Beberapa pengembang mungkin lupa, atau tidak cukup peduli, untuk menggunakan dokumentasi API yang tepat. Terkadang API yang lebih lama dihapus dari dokumentasi meskipun masih ada. Merger perusahaan juga terkenal karena memproduksi banyak API bayangan. Terkadang pengembang membuat API bayangan untuk tujuan pengujian, atau untuk contoh penggunaan yang sangat kecil dan tidak perlu repot-repot memberi tahu tim keamanan tentang keberadaannya.

Salah satu jenis API tersembunyi yang sedikit berbeda adalah API zombie, yang merupakan API yang telah dilupakan tetapi tidak dihapus. API zombie mungkin telah diamankan dan dipelihara dengan baik pada suatu saat, tetapi sejak itu dibiarkan begitu saja, bahkan mungkin tidak diketahui oleh pemilik aplikasi yang membuatnya. API zombie biasanya tidak diperbarui atau ditambal, tetapi masih menyediakan pintu yang agak tersembunyi ke beberapa bagian dari sistem aplikasi.

Terminologi untuk API jahat dapat bervariasi di antara organisasi berbeda; beberapa menggunakan "API bayangan" dan "API jahat" secara bergantian, sementara yang lain menggunakan "API jahat" untuk merujuk pada API yang sengaja dibuat jahat.

Praktik penemuan API yang sukses dilakukan secara konsisten, didokumentasikan dengan baik, dan distandardisasi. Mengikuti prinsip-prinsip ini dapat membantu para pengembang, baik internal maupun eksternal, saat ini dan pada masa depan, untuk menggunakan API secara efisien dan aman.

Standardisasi: Penggunaan spesifikasi dan protokol standar seperti OpenAPI Specification (OAS), REST, dan GraphQL dapat meningkatkan penemuan API dan kompatibilitas API serta membantu konsumen mendapatkan pemahaman yang cepat tentang API.

Dokumentasi: API dengan dokumentasi standar yang kuat lebih mudah ditemukan, yang dapat memberikan keuntungan dalam integrasi, kolaborasi, dan manajemen. Semakin baik dokumentasi, semakin banyak API yang dapat digunakan dan ditingkatkan.

Konsistensi: Melakukan penemuan API secara teratur adalah hal yang penting, karena API terus ditambahkan, diperbarui, dan dihentikan; ini bukanlah tugas yang hanya dilakukan sekali saja. Sistem otomatis dapat membuat ini lebih mudah, tetapi penemuan manual reguler juga efektif.

Ada banyak alat penemuan API yang berbeda, mulai dari alat penemuan API manual hingga alat yang mengandalkan otomatisasi penuh. Ada kekuatan dan kelemahan masing-masing.

Banyak pengembang yang terlibat dalam beberapa bentuk penemuan API secara manual. Ini dapat melibatkan meneliti kode sumber atau memantau lalu lintas API real-time untuk mencari anomali. Metode manual ini, jika tim keamanan tahu persis apa yang dicari, bisa lebih cepat dan lebih langsung daripada metode otomatis. Namun secara umum, penemuan API secara manual lebih lambat, kurang efisien, cenderung melewatkan API yang tersembunyi dan mungkin memerlukan pengetahuan yang lebih canggih.

Ada banyak alat penemuan API otomatis khusus. API gateway, misalnya, adalah “perantara” terpusat yang menerima dan mengarahkan panggilan API. Gateway membantu membuat katalog dan memantau API dan biasanya melakukan banyak peningkatan penemuan API sebagai bagian dari pekerjaan mereka.

Ada layanan perlindungan API khusus lainnya yang menyediakan penemuan API otomatis. Ketika mencari layanan seperti itu, biasanya mencari penyedia yang menawarkan postur keamanan yang kuat, kepatuhan terhadap standar yang terkenal (seperti spesifikasi OpenAPI, mencegah menjadi korban dari 10 risiko keamanan API teratas menurut OWASP) dan integrasi yang mudah dengan platform organisasi.

Otomatisasi dapat membuat peningkatan siklus hidup API jauh lebih efisien dan memastikan bahwa hanya API aman yang memiliki akses ke aplikasi perangkat lunak dan sumber daya terkait.