【IT168 评论】不管你采用什么样的技术或是平台总会轻易遭到攻击，没有任何方法可以保证百分之百安全。 俗话说：“道高一尺，魔高一丈”。但你可以做的是达到适当的安全级别并且时刻准备解决安全问题。原文作者Ole Lensmar发表了一篇博文《Please Stop Ignoring API Security》，笔者对原文进行了摘译：

　　6月初，OWASP更新了其十大安全漏洞列表，这也是自2010年至今首次更新。通过评估看以看出，安全一直是应用程序首要关注的问题，尤其是在API领域，因为大部分公司正在将核心资产及业务流程提供给其他人整合，旨在将其打造成为生态系统中一个至关重要的一部分(借此转化为货币利益)。

　　如今，入侵攻击风险、窃取数据或者DOS攻击等无处不在。这些风险看起来似乎很渺小，但是其带来的后果却是巨大的。从Playstation网站7700万账户被暴露，再到最近2月份Twitter的安全漏洞导致250,000账户被暴露，安全问题逐渐引发人们重视。

　　但奇怪的是，测试安全漏洞并确保应用程序或者API不被安全漏洞攻击，很多开发团队要么不知道要么就忽略了。2013年StarWEST和StarEAST (总部位于福罗里达州的Software Quality Engineering)有超过70场会议都在讨论安全漏洞问题。最近我曾与一家分析公司探讨关于缺乏对API安全问题的“困惑”，包括供应商、API赞助商以及API客户似乎都没有在这块领域上投入太多精力。

　　对此，我有几点想法：

　　首先，简单的无知。“这个不会发生在我们身上，或者我不知道你在说什么。” 很多人都有这种想法：没有人会在意攻击你的应用程序、API、技术组件或者你使用的语言不会轻易受到攻击，然而这种想法是错误的。

　　其次，尽早采纳新、酷技术。正如上文所述，开发团队往往不关心代码安全隐患，这个现实中很常见，当然这也同样适用于开发人员新组件和框架。然而这样存在很高的风险，开发者的关注的重点更多是在添加新特性或是否破坏它们的风格上，而不是担心他们的敏感信息是否被暴露或者API是否轻易被攻击。

　　最后，安全涉及的领域很广泛，这就意味着不同的人看法也不同。有的人注重认证和授权;有的人注重SSL、加密和签名;还有的人则注重VPNs、防火墙及BYOD。倘若添加永无止境的列表标准和缩略词组合(WS-Security，SAML，OAuth，SSL等)会存在较高的风险，在项目开发中通常只有极少部分领域被评估。