Sto studiando per l'esame CCSP e una parte del materiale didattico è fuoriuscito.
It behooves the cloud customer to formalize a policy and process for vetting, selecting, and deploying only those APIs that can be validated in some fashion -- a method for determining the trustworthiness of the source and the software itself. This process should be included in the organization's acquisition and development program, as well as the change management effort.
OK, questo ha un senso ... sorta. Il materiale di formazione non è stato dettagliato e si è fermato lì. Mi sembra però che questo processo sia soggettivo e che un cliente cloud possa considerare un'API totalmente sicura mentre un altro cliente cloud potrebbe considerare un'API terribile.
Quindi le mie domande sono:
-
Esistono standard di settore e documentati largamente accettati o enti governativi che dettano i requisiti per API basate su cloud a basso rischio e valide?
-
In assenza di ciò, esistono almeno linee guida generali su ciò che i clienti cloud dovrebbero cercare in un'API? Ad esempio, penso che questo è qualcosa che OWASP avrebbe ma non ho visto questo sul loro sito web.