Dados e Metodologia
Visão Geral
Como o setor de segurança de aplicação não se concentrou especificamente em mais recentes arquiteturas de aplicativos, na qual as API possuem um papel importante, compilar uma lista dos dez mais críticos riscos de segurança de API, baseados em uma chamada pública por informações, teria sido uma árdua tarefa. Apesar de não ter havido esta chamada por dados, a lista dos dez mais críticos ainda é baseada em dados públicos e com contribuições de experts em segurança, além de discussões abertas da comunidade.
Metodologia e Dados
Na primeira fase, dados disponíveis publicamente sobre incidentes de segurança envolvendo APIs, os quais foram coletados por experts em segurança, e então foram revisados e categorizados. Estas informações foram coletadas de plataformas de bug bounty e bancos de dados de vulnerabilidades durante um ano inteiro, como propósito estatístico.
Na fase seguinte profissionais de segurança com experiência em testes de penetração foram questionados a colaborar com suas listas de dez maiores ameaças à segurança de API.
Então a Metodologia OWASP para classificação de risco foi utilizada para a elaboração da análise de risco. Os resultados foram discutidos e revisados entre os profissionais de segurança. Para considerações nesse sentido, por favor, consulte o item Riscos de Segurança de API.
O primeiro rascunho do projeto é resultado de um consenso entre os dados estatísticos adquiridos na primeira fase com a lista entregue pelos profissionais de segurança. Este rascunho foi submetido à apreciação e revisão a um segundo grupo de profissionais de segurança com relevante experiência em segurança de APIs.
O projeto OWASP API Security Top 10 2019 então foi apresentado pela primeira vez no evento OWASP Global AppSec Tel Aviv (Maio 2019), e desde então, está disponível no GitHub para discussões e contribuições.
A lista de colaboradores está disponível na seção Agradecimentos.