近日，全球知名研究机构Forrester发布了《The API Security Software Landscape, Q3 2024》市场报告，报告中从API安全测试、身份验证与授权、攻击检测、攻击响应、API管理、全生命周期管理等维度对市面上主流的API安全供应商进行了评估，为企业产品选型提供了依据。腾讯安全凭借云WAF在API安全上的能力入选报告，并在多项指标上获得了Forrester的认可和推荐。

在千行百业数字化转型的背景下，API成为了数字化体验的中心，APP、Web网站和小程序等应用的核心功能、微服务架构等均离不开API的支持，由于API允许外部各方存取访问，对API的每一次调用都有可能带来安全和隐私风险，包括数据验证不力、配置错误、越权登陆以及安全组件之间缺乏集成等，甚至可以通过修改APP链接实施“投毒”攻击，由于这些特性，API也逐渐成为众多攻击者的目标，尤其是在大型攻防演练和重保场景中，API也成为了攻守双方的必争之地。

在实战中，腾讯云WAF安全专家团队发现，通常企业的API安全建设会面临四大挑战：

● 大量应用和逻辑上云，促使API资产和使用量暴增；

● 业务敏捷开发、快速迭代的需求，无法顾及API安全；

● 接口缺少维护，引发多种攻击隐患；

● 纵深边界打破，API风险增加，造成安全措施遗漏。

基于对客户需求的洞察，腾讯云WAF更新升级了其在API安全上的五大能力：

● 即开即用，一键开启API的安全管控；

● 自动发现，动态梳理资产用途和变化；

● 场景识别，快速梳理敏感暴露面；

● 可视化分析，指明趋势和风险；

● 联动防护，联动腾讯天御流量风控和威胁情报。

通过上述手段，腾讯云WAF可以帮助企业用户全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据，灵活、全面、精准构建API全生命周期安全防护。在落地实践中，腾讯云WAF-API安全帮助某大型医院全面梳理了API资产，发现医院APP存在大量无需鉴权即可访问的API，并迅速处置了API风险，避免了百万级敏感数据的泄露。

目前，腾讯云WAF已广泛应用于民生政务、金融、电子商务、新零售、教育、房地产、互联网、游戏等领域的细分行业与市场，为千行百业的云上企业客户提供全方位的Web应用安全支持。

此前，腾讯云WAF已经获得多次入选国际研报、多项权威机构奖项，并于2021和2022年先后入选Forrester《Now Tech: Bot Management, Q4 2021》、《Now Tech: Web Application Firewalls,Q2 2022 》报告。此次入选，是其在API安全上的能力再次获得Forrester权威认可。腾讯安全也将聚焦于客户需求与场景，持续优化在API安全上的性能与表现，为客户数字化建设提质增效，减少安全后顾之忧。