The Evolution of Application and API Security (AAS)

22.03.2024 00:40

GigaOM

AAS Today

Application and API security (AAS) has been around as a unified security toolset for several years now, and it is near revolutionary in the breadth of coverage that it offers. Products in the space perform application-layer distributed denial of service (DDoS) protection, account takeover protection, API security, web app security, and more. As the products and their various functionality have been merged, advanced security has become possible too—things like data leak prevention that can watch for super slow data exfiltration attacks and application security that is informed by API security.

AAS Tomorrow

Even with all that these tools do, customers are demanding more. We’re seeing a convergence of all production-side security in one place and the possibility of even development security ending up folded into offerings. Indeed, some products already offer static application security testing (SAST), aka source code security scanning.

One-Stop Security Shop
On the surface, consolidating every security issue under the sun into a single product or platform may seem to limit best-of-breed choices and create a single location for attackers to target; however, there are benefits to this expanding approach. We will dispense with the obvious case of customers wanting a single responsible vendor. This is true of broad offerings of any kind: that subset of customers is both the driving force and the target market. But for AAS there is far more.

Inclusion of Development Security Capabilities
For example, the deep integration of SAST drives AAS quality up. And offering API security tools–often merely a check of the interface with little or no evaluation of the underlying code–in combination with SAST provides information about that very underlying code. If an API call passes security testing based on results, it may not be obvious that there is an underlying security flaw in the source just waiting to be exploited.

SAST specializes in looking for known vulnerabilities in source code and helping developers to fix them. It also knows about risky, but not inherently insecure, coding practices in a given file. That information, passed on to the web application firewall (WAF), can be used to create protections for the web app or, when passed on to the API security feature, can be used to forcibly limit response ranges for given variables.

Development security offers SAST, dynamic application software testing (DAST), interactive application software testing (IAST), and often runtime application self-protection. It’s focused more on the development side of DevOps, and SAST/DAST are sometimes even integrated directly into the integrated development environment (IDE). This is the other half of application security, and now that we’re seeing spotty inclusion of SAST and DAST in AAS products, we hope the trend continues until customers that would like it can have a one-stop security shop. Of course, the key has to be “customers that would like it.”

Inclusion of SBOMs
If we were to compile our dream list of features, the first thing we’d want to see added would be software bills of materials (SBoMs). While every security vendor under the sun creates SBoMs these days, we’d like to see AAS vendors import the two primary SBoM formats—software package data exchange (SPDX) and CycloneDX (CDX)—and use them as part of the overall security and protection environment.

The critical part of SBoMs is their ability to identify all of the libraries and open source components in an application’s build tree. This information can then be used to check against known vulnerabilities and inform the entire application security architecture as implemented in the AAS.

Plenty of security products have this functionality, but it has not taken off yet in the AAS market. Even with vendors that can generate a SBoM, it’s not well-integrated into the process. Yet with its great potential, we hope this soon becomes table stake functionality for AAS solutions: generation and/or import along with using the SBoM information across the spectrum of security services the platform offers.

In Security, More Information is Always Better

Essentially, in security, more information is always better. Traditionally, AAS tools (like the WAF and API security tools the market grew out of) look at security from the active attack/defense perspective. That is a good way to look at it, and considering that many of the vendors’ products were and are application delivery tools also, they have a wealth of runtime attack and protection information. However, security starts with the first line of code, and adding in that perspective simply increases the opportunities not only to actively defend the application but to proactively make the application more secure in the process.

There are many quality security tools out there, and we would hope any market-leading vendor would allow an enterprise to pick and choose which products do each part of the job. That will take time because integrating a dozen or so products across a single platform is not something that happens overnight, and certainly not with the depth that the current single-vendor solutions have.

That is, however, our hope for the long-term future, and we do seem to be headed that way.

Next Steps

To learn more, take a look at GigaOm’s AAS Key Criteria and Radar reports. These reports provide a comprehensive overview of the market, outline the criteria you’ll want to consider in a purchase decision, and evaluate how a number of vendors perform against those decision criteria.

If you’re not yet a GigaOm subscriber, you can access the research using a free trial.

The post The Evolution of Application and API Security (AAS) appeared first on Gigaom.

Партнёры Smi24.net

Все новости за 24 часа

Life24.pro

Клинический психолог Юлия Тарибо: каким типам личностей сложно было вместе

Из 90-х в люкс: Татьяна Буланова подняла гонорар до 2 миллионов из-за любви зумеров

Ольга Романив: как вести себя с мужчиной, который нравится

Друг ведущего Дроздова рассказал о курсе уколов, который тот проходит

Today24.pro

Son Of British Boxing Legend Retires From The Sport Aged Just 24: “Won’t Be Fighting Again”

Dow futures sink as Trump keeps pushing tariffs while White House suggests Powell’s job could be at risk

First confirmed death during Trump ICE raid is a farmworkers at a California cannabis facility

Trump's cuts force Texas food banks to ration supplies for flood survivors

News24.pro

В Курской области мужчину осудили за угрозу убийством матери

Клинический психолог Юлия Тарибо: каким типам личностей сложно было вместе

ГК «АСНА» внедрила систему продвинутой аналитики «Дельта BI»

Вот билет на контент, на эксплойт билетов нет

Game24.pro

I've swapped modern live service games for a browser game that's been running since 2009

Гайд на Fuqiu из Etheria Restart: навыки, PvE-билд, расклад в PvP и дубликаты

The Expanse RPG's developers are 'humbled' by comparisons to BioWare's heyday, but don't expect it to be a straight Mass Effect clone: 'We make our story a little bit differently'

Those shadow giants in the distance in Elden Ring Nightreign are over 2 miles tall⁠—almost as big as the Erdtree⁠—and nobody even mentions them in the game

Russia24.pro

Врач-офтальмолог Элина Санторо: как выбрать идеальные солнцезащитные очки

Косметолог Наталья Рябинова: в чем разница между эстетическим и медицинским трихологом

Росгвардейцы из Чеченской Республики стали победителями и призерами чемпионата Северо-Кавказского округа Росгвардии по комплексному единоборству

Пора пригласить певца A.SERGIO для участия в теле- и радиопрограммах, подкастах и шоу!

News-life

Участники «Активного гражданина» выбрали лучшую заправку для окрошки

Врач-офтальмолог Элина Санторо: как выбрать идеальные солнцезащитные очки

«Сила в команде»: судебные приставы Кузбасса приняли участие во всероссийских хоккейных соревнованиях среди силовиков

Косметолог Наталья Рябинова: в чем разница между эстетическим и медицинским трихологом

Ru24.net

В Видном арестовали мать мальчика, которого отчим избил битой

Γpуɜинcκий пοлитиκ: Βce ɜдpaвοмыcлящиe xοтят вepнутьcя в eдинοe пpοcтpaнcтвο c Ροccиeй

Из трёх музеев Томской области томичи отправили по почте 500 «тёплых открыток»

Многим рискует: юрист сказал, как сидит «золотой» экс-полковник Захарченко

News.tennis

Кудерметова стала первой россиянкой, выигравшей парный разряд Уимблдона с 2017 года

Подмосковный теннисист стал призером юниорского Уимблдона

Тарпищев объяснил причины неудачного выступления Анисимовой против Швентек.

Синнер впервые стал победителем Уимблдона

29ru.net

Жители Прикамья активно покупают билеты на транспорт в отделениях Почты России

Красные арки, синяя подсветка. В Москве строят новые пешеходные мосты

Синоптик Леус: 45 процентов месячной нормы осадков выпало в столичном регионе

В Москве мужчина ограбил магазин на АЗС, угрожая пистолетом

Музыкальные новости

Poisk-music.ru

ТВ "Союз". Концерт духовной музыки при участии хоров из России состоялся в приходе иконы Божьей Матери «Всех скорбящих Радость»

Жена Басты сцепилась с Onlyfans-моделью Eva Bogut: подробности скандала

Волочкова отказалась выступать с Штурм: «Я балерина, а не певица»

Игорь Бутман выступил за обмен музыкантами между РФ и США

Ria.city

Росгвардейцы из Чеченской Республики стали победителями и призерами чемпионата Северо-Кавказского округа Росгвардии по комплексному единоборству

Косметолог Наталья Рябинова: в чем разница между эстетическим и медицинским трихологом

Вот билет на контент, на эксплойт билетов нет

Врач-офтальмолог Элина Санторо: как выбрать идеальные солнцезащитные очки

Rss.plus

Премьерный показ сериала «Три сестры» с Ларисой Гузеевой прошел в Нижнем Новгороде

Ким Чен Ын: позиции РФ и КНДР «по всем стратегическим вопросам» совпадают

Эту одежду многие уже давно выкинули, а зря: топ-7 стильных в 2025 году вещей, которые и через 100 лет будут в моде

Чемпионат по мини-футболу среди подразделений Росгвардии прошёл в Грозном

Auto.russia24.pro

Вскрытие без последствий – сервис «Спас-замков»

Мобильный интернет перестанут массово отключать в России

КАМАЗ-4280 начал тестовую эксплуатацию на маршруте в Подмосковье

Красные арки, синяя подсветка. В Москве строят новые пешеходные мосты

Putin.russia24.pro

Путин отметил успех школьников на Международной химической олимпиаде.

В США сделали смелое заявление в отношении Путина.

Посол Акира Муто: Япония будет приветствовать возможную встречу Путина и Трампа

"Пока Путин не заметит это безобразие": Пономарев резко высказался о легионерах в РПЛ

Health.russia24.pro

Косметолог Наталья Рябинова: в чем разница между эстетическим и медицинским трихологом

Врач-трихолог Мадина Осман: как часто можно делать пересадку волос

Клинический психолог Юлия Тарибо: каким типам личностей сложно было вместе

Травмированного на репетиции в цирке Москвы акробата выписали из больницы

Zelensky.russia24.pro

ВСУ атаковали дронами женщин под Сумами: Били за надпись "Мы русские"

Sport.russia24.pro

Раскрыто расписание Олимпийских игр 2028 года в Лос-Анджелесе.

"Пока Путин не заметит это безобразие": Пономарев резко высказался о легионерах в РПЛ

«Турбозавры» поучаствовали в Дне московского транспорта

Росгвардейцы из Чеченской Республики стали победителями и призерами чемпионата Северо-Кавказского округа Росгвардии по комплексному единоборству

Lukashenko.russia24.pro

Петербургская делегация провела переговоры с президентом Беларуси в Минске

Лукашенко предложил Петербургу ремонтировать всю белорусскую технику

Лукашенко заявил о необходимости проверки чиновников за манипуляции с ценами.

«Нам в Минске надо учиться». Лукашенко похвалил Беглова за зимнюю уборку Петербурга

Person.russian.city

Сергей Собянин: роботы и электромашины на страже московских улиц

Сергей Собянин: В Москве появятся три новых пешеходных моста к 2027 году

Ecology.russia24.pro

ГК «АСНА» внедрила систему продвинутой аналитики «Дельта BI»

РЭО запускает акселератор для экологических центров на базе Плехановского университета

Губернатор Андрей Бочаров принимает участие в образовательной программе Сбера

Позднякова: температура в Москве останется выше климатической нормы

29ru.net

В Москве мужчина ограбил магазин на АЗС, угрожая пистолетом

Синоптик Леус: 45 процентов месячной нормы осадков выпало в столичном регионе

На озере в Красноармейском округе пропала женщина

Красные арки, синяя подсветка. В Москве строят новые пешеходные мосты

Severodvinsk.ws

Защищённый планшет Saotron RT-W11J на базе ОС Windows10

В городе Барнауле стартовал третий этап смотра-конкурса на звание "Лучшее звено газодымозащитной службы" среди Главных управлений МЧС России

Беспроводной сканер штрих-кодов SAOTRON P05i промышленного класса

Фестиваль духовых оркестров пройдет в трех городах Поморья по случаю Дня ВМФ

Sevpoisk.ru

Феодосия получила 150 миллионов на ремонты дворов - где начнут работы

Крыму и еще 24 регионам России спишут долги на миллиарды рублей

Десятки улиц Симферополя остались без света 14 июля

Симферополь частично остался без света утром 14 июля

103news.com

«Союз-Аполлон» — вторая встреча над Эльбой. А можем повторить?

В Городском округе Пушкинский в образовательных комплексах полным ходом идёт подготовка к новому учебному году

Посол Акира Муто: Япония будет приветствовать возможную встречу Путина и Трампа

Андрей Воробьев рассказал об открытии новых школ в Подмосковье к 1 сентября

Агрегатор новостей 24СМИ