Estoy estudiando para el examen CCSP y una parte del material de capacitación sobresalió.
Le corresponde al cliente de la nube formalizar una política y un proceso para vetar, seleccionar y desplegar solo aquellas API que pueden ser validado de alguna manera - un método para determinar la Confiabilidad de la fuente y del software en sí. Este proceso Debe ser incluido en la adquisición y desarrollo de la organización. programa, así como el esfuerzo de gestión del cambio.
Bien, eso tiene sentido ... sorta. El material de entrenamiento no entró en ningún detalle y se detuvo allí. Sin embargo, me parece que este proceso es subjetivo y que un cliente en la nube podría considerar una API totalmente segura, mientras que otro cliente en la nube podría considerar una API horrible.
Así que mis preguntas son:
-
¿Existen normas de la industria y documentadas ampliamente aceptadas o cuerpos de gobierno que dictan los requisitos para las API basadas en la nube de menor riesgo y viables?
-
En ausencia de eso, ¿existen al menos pautas generales sobre qué deben buscar los clientes de la nube en una API? Por ejemplo, siento que esto es algo que tendría OWASP pero no lo vi en su sitio web.