Recientemente he estado estudiando mucho sobre cómo escribir código seguro y elegir métodos seguros para guardar contraseñas en una base de datos. Me pregunto si es seguro usar bibliotecas o API listas para hacerlo para mí. ¿Cómo puedo verificar la integridad de esas API?
No proporcionaste demasiados detalles, así que en general:
Uno de los mayores riesgos en el uso de la criptografía es su uso inapropiado, que conduce a varias vulnerabilidades de seguridad, por ejemplo. fuga de clave privada, ataque de texto simple conocido, etc.
A menos que sea un experto en criptografía (y no lo parezca), generalmente es aconsejable utilizar API del nivel más alto posible, que se adapte a sus necesidades. Estas API probablemente se prueban mejor que su aplicación, por lo que hay menos posibilidades de uso inadecuado de la criptografía en una API que en su aplicación.
Esto concierne especialmente a temas como guardar las contraseñas de los usuarios de manera segura (evitando que los atacantes puedan usar tablas arco iris en caso de que obtengan volcado de tablas).
Hay varios algoritmos estándar utilizados para hashear contraseñas de forma segura (PBKDF2, BCrypt, SCrypt. Ver esta pregunta para más detalles).
En cuanto al uso de una biblioteca para esto, puede hacerlo pero debe tener en cuenta cómo se ha auditado el código. Las bibliotecas de código abierto bien conocidas y mantenidas generalmente se pueden usar con bastante seguridad.