Application Programming Interface (API)

Uit NORA Online
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Toelichting

Een API is te beschouwen als een soort digitale stekkerdoos, die externe diensten of personen gecontroleerde toegang kan verschaffen tot interne diensten, algoritmes, apparaten en/of informatiebronnen.


De eigenschappen van een API maakt een algoritme, dienst, apparaat of data programmeerbaar en daarmee ook gevoelig voor aanvallen. De maatregelen hieronder zijn beperkt tot generieke eisen. Zie voor specifieke eisen over JavaScript Object Notation (JSON), Extensible Markup Language (XML) of Graph Query Language (GraphQL) en de Application Security Verification Standard (ASVS) van OWASP.


Bij cloud-toepassingen speelt de HyperText Markup Language (HTML)-5 ondersteuning van bepaalde browsers en de versie van die browser een belangrijke rol, onder andere voor de ondersteuning van bepaalde office-versies.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Leverancier.


Criterium

Softwarepakketten behoren veilige API’s te gebruiken voor import en export van gegevens.

Doelstelling

Het bieden van veilige mechanismen voor onder andere import en export van gegevens.

Risico

Gegevens kunnen niet uitgewisseld worden.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is OWASP ASVS 2020 V13

Onderliggende normen

IDConformiteitsindicatorStelling
SWP_U.12.02 Veilige API’s

API-URL’s geven geen gevoelige informatie, zoals de API-sleutel, sessie-tokens enz. weer.

SWP_U.12.1 Veilige API’s

Het softwarepakket maakt tijdens verwerking gebruik van veilige API’s op basis waarvan additionele gegevens uit externe bronnen kunnen worden ingelezen en verwerkt.

SWP_U.12.3 Veilige API's

Het softwarepakket maakt gebruik van veilige API’s, die (automatisch) gebruikersdata scheiden van applicatiecode, waarmee injectie kwetsbaarheden zoals SQL injection en Cross-Site Scripting (XSS) te voorkomen.