近日，开源 API 管理工具的 Eoapi 与哈尔滨工业大学（深圳）数据安全研究院发起的开源项目 OpenDLP，联合发布了合作插件—— OpenDLP API 安全检查，小小插件能为 API 安全做什么呢？

企业安全关注的事情很多，API 安全目前来讲是一个非常新兴的，但是非常重要的一个热点。软件世界数据通信万物互联的背景下，从我的视角来看，API 是一种新的能够更低成本去让数据打通，让软件集成融为一体，以及在某种程度上甚至能够以一种更好的生产方式，快速完成企业软件交付的一种新模式。大家也已经看到，各行各业的企业都已经在做一些做业务或者做 API 化的战略转型，其实就在 API 里面。

基础设施增长的背后，一定也会带来安全问题。我们讲的黑客攻击，以利益为主导的黑客攻击它无非就是想控制你的资产，或者想偷你的数据，而 API 这两点它是都具备。

一方面，API 本身是暴露在网络上的，相当于软件构建的系统，对网站攻击的手法完全可以应用到 API 的场景里。API 的后端，比如一些 Java 的代码，也是各种各样的系统，这些系统它存在的漏洞，也可以通过 API 打进去，最终导致自己的资产实现。这是传统攻防领域的情况。

最近我们看到一个更严峻的趋势，越来越多的 API 导致了非常严重的数据泄露。数据泄露对企业来讲，尤其是大型企业，以及关系到民生或基础设施的企业，他们一次大范围的数据泄露是非常致命的，可能不仅仅是业务上损失，还会涉及到监管层面。

以前的数据泄露事件，要层层攻击，从外网到内网到数据库打进去，打进去很费劲，最终才能把数据库的数据拖出来。现在不一样了，我们只需要找到一个没有认证授权的 API 数据，随便一个脚本就可以把数据拖出来，这是一个非常简单快速的入侵链路，但是它的杀伤力巨大。现在越来越多企业除了要面对漏洞攻击，还要面对 API 导致的数据泄露。

提高 API 安全性的手段有很多，敏感数据识别扫描就是其中之一。

OpenDLP 是一个开源的敏感数据识别工具，我们可以通过 OpenDLP 服务在 Eoapi 上对文档进行扫描，避免部署/开放带有敏感字段的 API 文档。

如何使用 OpenDLP 插件

Docker 部署 OpenDLP 服务：Docker push longice/opendlp-eoapi:1.0.0

在 Eoapi 【插件广场】-【所有】-【OpenDLP】中找到 OpenDLP 插件一键安装

在 Eoapi 【插件广场】-【所有】-【OpenDLP】中输入 OpenDLP 服务地址，保存。

此时，在 API 详情页点击【扫描 API 敏感词】。

显示当前文档敏感词扫描结果：

目前内置支持 17 类敏感数据类型，可以通过自定义正则支持更多类型的识别。对于有地区和语言差异的类型，目前都是支持中国大陆地区、简体中文。具体敏感数据类型如下：

关于 Eoapi

Eoapi 是一款类 Postman 的开源 API 管理工具，它更轻量，同时可拓展。

支持基础的 API 文档和测试功能，还可以通过插件帮助你将 API 发布到各个应用平台，比如发布到网关完成 API 上线，或者和低代码平台结合，将 API 快速变成可使用的组件等。

Eolink 在 2022 年开源了 Eoapi 项目，Eoapi 建立在 Eolink 多年以来在 API 全生命周期领域的行业经验基础之上，同时希望通过开源吸收社区中最棒的想法和实践。

Eoapi 将继续与其他厂家一起努力开发更多的插件，共建 Eoapi 的插件生态，让我们的用户能够通过插件，为自己搭建趁手的工具，让插件的价值实现最大化。

关于 OpenDLP

OpenDLP 开源项目由哈尔滨工业大学（深圳）数据安全研究院发起。哈尔滨工业大学（深圳）数据安全研究院致力打造新型研究与产业孵化平台，逐步孵化一批具有行业示范性的网络与数据安全高新技术企业，为国家数字化建设和网络强国建设提供有力保障。

OpenDLP 是一个敏感数据识别工具，使用正则表达式、人工智能算法、数据校验规则等多种技术对结构化数据表和 JSON 之类的半结构化数据进行字段级敏感数据识别，可以帮助企业和组织进行数据资产分类分级，保障数据安全。

正则表达式是敏感数据识别的常用技术手段，OpenDLP 的正则表达式智能生成功能能够基于提供的正、负训练样本数据，自动学习生成正则表达式，帮助提高正则表达式编写效率。