Secure API Development Life Cycle
Author
Andersen, Jan
Term
4. semester
Education
Publication year
2024
Submitted on
2024-01-15
Pages
55
Abstract
APIs now underpin much of web traffic and business integrations, expanding the attack surface and making it insufficient to bolt on security after release. This thesis examines what it takes to make Web API security an integral part of the software development life cycle (SDLC) without delaying delivery, including how to embed threat modeling and security testing (SAST/DAST) into everyday work. Drawing on established frameworks and guidance, the work introduces API fundamentals (types, protocols, architectures), situates the topic within SDLC and DevSecOps, reviews the OWASP API Security Top 10 (2023), and presents a security baseline and phase‑specific activities for both API exposure (ingress) and API consumption (egress) across design, development, testing, implementation, and logging/monitoring. It outlines how to apply STRIDE threat modeling to an API and examines the role and limits of automated tools, emphasizing that scanners cannot replace sound design, component awareness, and cross‑functional collaboration. Motivated by modern software complexity and the erosion of traditional perimeter security, the thesis argues for earlier, continuous security practices as a way to reduce risk while preserving speed. The provided pages do not include empirical evaluation or final results, but they lay out the approach and building blocks needed to operationalize secure API development.
API’er driver i dag en stor del af webtrafik og forretningsintegrationer, hvilket udvider angrebsfladen og gør det utilstrækkeligt at tilføje sikkerhed efter en løsning er færdig. Dette speciale undersøger, hvad der skal til for at gøre web‑API‑sikkerhed til en integreret del af softwareudviklingslivscyklussen (SDLC) uden at forsinke leverancer, herunder hvordan trusselsmodellering og sikkerhedstest (SAST/DAST) kan indarbejdes i processen. Med afsæt i etablerede rammer og anbefalinger beskriver arbejdet API‑grundlag (typer, protokoller, arkitekturer), placerer emnet i SDLC og DevSecOps, gennemgår OWASP API Security Top 10 (2023) og præsenterer en sikkerhedsbaseline samt fase‑specifikke aktiviteter for både eksponering af API’er (ingress) og forbrug af API’er (egress) på tværs af design, udvikling, test, implementering og logning/overvågning. Specialet skitserer, hvordan STRIDE‑trusselsmodellering kan anvendes på et API, og diskuterer muligheder og begrænsninger ved automatiske værktøjer, idet det understreges, at skannere ikke kan erstatte godt design, kendskab til komponenter og tæt samarbejde på tværs af roller. Motiveret af stigende kompleksitet i software og et svækket perimeter‑sikkerhedsparadigme argumenterer specialet for tidlig og kontinuerlig sikkerhed som en vej til at reducere risiko uden at tabe hastighed. De medtagne sider rummer ikke empiriske resultater eller endelige konklusioner, men skitserer tilgang og byggesten til at operationalisere sikker API‑udvikling.
[This apstract has been generated with the help of AI directly from the project full text]