Riscos de Segurança em APIs
Para a análise de risco usámos a metodologia de avaliação de risco da OWASP.
A tabela seguinte resume a terminologia associada à pontuação correspondente ao nível de risco.
| Agentes Ameaça | Abuso | Prevalência | Deteção | Impacto Técnico | Impacto Negócio |
|---|---|---|---|---|---|
| Específico da API | Fácil 3 | Predominante 3 | Fácil 3 | Grave 3 | Específico do Negócio |
| Específico da API | Moderado 2 | Comum 2 | Moderado 2 | Moderado 2 | Específico do Negócio |
| Específico da API | Difícil 1 | Incomum 1 | Difícil 1 | Reduzido 1 | Específico do Negócio |
Nota: Esta abordagem não toma em consideração a verosimilhança do Agente de Ameaça. Também não toma em consideração nenhum detalhe técnico associado à sua API. Qualquer um destes fatores podem ter impacto significativo na probabilidade dum atacante encontrar e abusar duma falha de segurança particular. Estes indicadores não tomam em consideração o impacto atual no seu negócio. Terá de ser a sua organização a decidir qual o nível de risco para a segurança das suas aplicações e APIs que está disposta a aceitar, baseado na cultura, indústria e regulação a que está sujeita. O propósito do OWASP API Security Top 10 não é fazer essa análise por si.