根据 F5 的数据，70% 面向客户的 API 使用 HTTPS 进行安全保护，但仍有近三分之一的 API 完全未受保护。

在过去十年中，随着安全网络通信的推动，现在90%的网页都是通过HTTPS访问的，这与此形成了鲜明对比。

“F5公司杰出工程师Lori MacVittie表示：”API正在成为数字化转型工作的支柱，连接着各组织的关键服务和应用。“然而，正如我们的报告所指出的，许多组织并没有跟上保护这些宝贵资产所需的安全要求，尤其是在新兴人工智能驱动的威胁背景下。”

目前，平均每个组织管理着 421 个不同的 API，其中大部分托管在公共云环境中。尽管有所增长，但仍有大量 API（尤其是面向客户的 API）没有受到保护。

随着 API 越来越多地连接到 OpenAI 等人工智能服务，安全模式必须进行调整，以涵盖入站和出站 API 流量。目前的做法主要集中在入站流量上，出站 API 调用容易受到攻击。

80% 的企业在 API 设计阶段就开始考虑 API 安全问题。此外，59% 的企业表示，他们在 API 生命周期的每个阶段都考虑到了安全问题。87% 的企业已经采用或计划采用安全开发生命周期 (SDLC) 实践，这些实践强调在生命周期的每个阶段都要解决安全问题。

从微服务架构中的 mTLS，到访问控制、DDoS 和僵尸防御，一些 API 处于安全服务的泡沫之中、
以及针对 API 的安全措施。因此，这些 API 一般都得到了很好的保护。但也有一小部分（不到 10%）完全没有受到保护。鉴于 API 在大多数组织中的广泛使用，这可能并不令人担忧。然而，在面向客户的 API 中，完全不受保护的 API 所占比例令人震惊（超过 30%，接近三分之一）。

无论是在公众和合作伙伴访问的应用程序中，还是在操作集成中，让任何 API 不受保护都是不明智的。采用零信任安全模式的组织需要将其思维扩展到应用程序之外，以确保每个 API 请求（无论其来源如何）都经过验证、授权和确认。

报告显示，企业内部对应用程序接口安全的责任划分不清，53%的企业通过应用程序接口管理和集成平台来管理应用程序接口安全，31%的企业通过应用程序接口管理和集成平台来管理应用程序接口安全。这种分工可能导致覆盖范围的空白和安全实践的不一致。

受访者将可编程性列为最有价值的 API 安全能力，强调了对 API 流量和威胁进行实时检查和响应的必要性。

为了解决这些安全漏洞，报告建议企业采用全面的安全解决方案，涵盖从设计到部署的整个 API 生命周期。通过将API安全整合到开发和运营阶段，企业可以更好地保护其数字资产免受日益增多的威胁。

“MacVittie补充说：”API是人工智能时代不可或缺的一部分，但必须确保API的安全，以确保人工智能和数字服务能够安全有效地运行。“这份报告呼吁企业采取行动，重新评估其 API 安全战略，并采取必要措施保护其数据和服务。”