Как аппсеки в Авито API собирали

Если у вас монолит — у вас одна точка входа, можно генерировать OpenAPI-файл с описанием всего API. Сразу понятны рейт-лимиты, наличие авторизации легко проверить, даже сходу можно запустить DAST с высоким покрытием. Мир меняется, когда появляется пара тысяч микросервисов, несколько гейтвеев, внутренние и внешние балансеры, сотни доменов — разобраться в том, какие именно ограничения действуют на API-ручку, становится сложно.

Расскажу о том, как мы научились строить дерево роутинга для всего API с покрытием более 95%, реализовали обнаружение небезопасных конфигураций API и научились предоставлять данные по API для динамических сканеров безопасности. Рассмотрим, какие результаты принесла нам эта система.