REST API自动化测试综述

REST API已经成为访问和使用云服务、Web、移动应用程序的重要途径,如何对这些API进行自动化测试以保证服务的安全性和可靠性是亟待解决的问题。目前虽然关于REST API自动化测试的研究成果众多,但仍缺少对测试技术全面的分析和总结。梳理了该领域近10年的代表性成果,首先总结了REST API自动化测试的发展历程;然后结合REST API自动化测试特征,提炼了测试的通用流程;接着分别从预处理、测试用例生成、测试用例执行与监测、结果分析四个环节阐述现有成果的技术特征,对比分析其优缺点;最后论述当前研究存在的不足,讨论可能的解决思路,展望了下一步研究方向。

基于概率逻辑推理的高阶互补云API推荐方法

云时代,云API作为服务交付、数据交换和能力复制的最佳载体,已成长为当今面向服务软件开发和企业数字化转型不可或缺的核心要素.然而动态开放网络中持续增长的云API在给开发者提供了更多选择的同时,也将其淹没在海量的云API选择之中,设计有效的云API推荐方法就此成为API经济健康发展中迫切要解决的现实问题.但是,现有研究主要利用搜索关键词、服务质量和调用偏好进行建模,生成质量高功能单一的云API推荐列表,没有考虑服务化软件实际开发中开发者对多元化高阶互补云API的客观需要.高阶互补云API推荐旨在为多个查询云API生成多元互补云API列表,要求推荐结果与查询云API均互补,以满足开发者的联合需求.针对此问题,本文提出基于概率逻辑推理的高阶互补云API推荐方法(Probabilistic Logic Reasoning for High-order Complementary Cloud API Recom⁃mendation,PLR4HCCR).首先,通过云API生态真实数据分析论证云API互补推荐需求的必要性和互补关系建模中替补噪声的客观存在,为云API互补推荐问题研究提供动机和数据支持.其次,采用Beta概率嵌入对云API及其之间的关系约束进行编码,以刻画云API间互补关系的不确定性和支持互补逻辑推理.接着,设计由投影、取反和交并三个基本逻辑算子构建的互补关系逻辑推理网络,使查询集中的每个云API获得非对称互补关系感知和替补噪声消解约束下的互补云API表示.然后,引入注意力机制为查询云API的互补云API分配不同权重,增强高阶互补云API基向量的表征能力.在此基础上,采用KL散度度量高阶互补云API基向量与候选云API之间的距离,并根据KL散度排序生成高阶互补性可感知下的云API推荐结果.最后,我们利用两个真实云API数据集在不同阶互补推荐场景下进行实验,实验表明,与传统启发式推荐方法和深度学习推荐方法相比,PLR4HCCR在互补关系感知推理和替补噪声消解方面均具有较大的优势,继而使其在低阶、高阶和混合阶互补云API推荐中均展示出更优的推荐效果和更强的泛化能力.进一步,超参数敏感性实验、实例分析和用户调查验证了方法的有效性、实用性和可行性,这使结合高阶互补关系的云API推荐方法PLR4HCCR不仅更有可能生成开发者满意的结果,而且可有效提升云API服务提供者的收益.

Docker API与SpringBoot Actuator未授权访问风险分析与防范研究

随着云计算技术的普及和容器化技术的发展,Docker和SpringBoot已成为现代软件开发和部署的重要工具。然而,这种广泛的使用也伴随着安全风险。针对DockerAPI与SpringBoot Actuator的未授权访问风险进行了深入分析。当这些关键组件暴露于未授权访问之下时,攻击者可能利用这些漏洞执行恶意操作,如部署恶意容器、篡改应用程序配置或窃取敏感信息。这些行为不仅可能导致服务中断和数据泄露,还可能对企业造成严重的声誉和财务损失。

API 521—2020火灾环境下气体压力容器安全泄放量计算讨论

为深入理解压力容器超压泄放设计,针对火灾环境下无隔热气体压力容器的安全泄放量计算问题,推导了气体压力容器泄放过程的质量及能量平衡方程,分析了方程求解过程的简化及假设条件,明确了API 520—2020标准内火灾环境无隔热气体压力容器安全泄放量公式的来源,研究了各简化假设条件对安全泄放量计算结果的影响。结果表明,API 521—2020安全泄放量公式是在质量平衡及能量平衡方程基础上,对一些参数进行工程简化得到的。其假设简化条件包括:泄放过程定压、火焰热量经壁面完全传递至气体、大空间竖直平板自然对流、采用常温常压空气物性简化实际气体的h'/(c_(p)M^(1/2))、理想气体假设、容器壁面不发生破坏及壁面温度推荐取固定值。上述简化及假设条件均使安全泄放量计算结果偏于保守,在应用时偏安全。研究可为科学开展火灾环境下气体压力容器超压泄放设计提供一定的指导。

某三级甲等公立医院API接口安全监测实践与思考

目的:建立医院API接口资产台账,实现API接口的统一集中管理,并对API接口的运行状态进行实时监控,及时发现接口安全风险并整改,提升医院信息安全防护水平。方法:以某三级甲等公立医院为例,通过人工和系统识别相结合的方式,梳理医院API接口,建立台账,利用API接口监测设备对网络流量实时监测,识别安全风险并整改、加固。结果:实现了全院API接口的集中统一管理,提升了医院信息安全防护水平,保障医疗数据在信息系统间的安全共享和流通。结论:对API接口进行安全监测,有助于发现医疗机构应用系统安全风险,提升医疗机构网络安全防护能力,保障医疗数据安全。

基于API潜在语义的勒索软件早期检测方法

加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(Dynamic Link Library,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(Initial Phase of Operation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(Ransomware Early Detection Method based on API Latent Semantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(Term Frequency-Inverse Document Frequency)算法以及潜在语义分析(Latent Semantic Analysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.

异常信息敏感的框架API生命周期模型构造

大型软件系统的实现依赖于底层框架或第三方库,但这些复杂的框架/库代码在演化升级时往往独立于其调用者,为上层软件的质量保障带来挑战.例如,框架/库代码演化时新增和删除API、更改API的代码语义等行为会导致框架/库代码的不同版本之间不兼容,进而在上层应用开发者更新版本时,影响应用代码的正确性.为应对这一问题,需精准提取框架/库代码API的演化过程,形成演化报告,协助上层应用开发者选择兼容的版本或快速进行代码适配.其中,框架/库代码API的演化过程分析对应着框架API生命周期模型构造.现有工作中的API生命周期模型主要关注API的存在性变动,而未考虑特定代码语义变更对开发者的影响,特别是异常相关代码带来的语义变更,给上层软件系统带来隐患.为此,本文采用面向Java字节码的静态分析方法,识别框架API中的异常抛出行为并为其生成异常摘要报告,通过多轮流式匹配策略获取异常信息的变更情况,最终为框架/库代码构造异常信息敏感的API生命周期模型.该方法:(1)通过控制依赖语句切片提取异常抛出语句的关键触发条件,采用参数推断策略将局部变量的约束条件转换为仅与外部输入参数相关的异常前断言,并基于自底向上的摘要传递实现跨过程异常摘要提取;(2)通过关键信息精准匹配和自适应模糊匹配策略,分析异常摘要信息的新增、删除和修改情况,最终得到异常敏感的API生命周期模型(共涉及七种API变更形式).基于该方法,实现了基于Java字节码分析的API生命周期提取工具JavaExP.与现有最新方法相比,JavaExP的异常摘要信息提取准确性(F1值)提高了67%,分析用时减少了87%.对真实项目的API生命周期演化分析表明,与异常不敏感的API生命周期模型相比,采用异常敏感的模型时,API发生变动的比例提高了18%.在75,433个被分析的API中,约有20%API的异常抛出行为至少发生过一次改变,这些API共涉及超过七千多处独立的异常变更.在多个项目上的分析结果表明,异常敏感的模型构造能够更加精准地描述API的演化过程.

基于地图API的城市地质调查信息平台

城市地质调查信息的有效处理是地质调查工作的重要环节。文章基于WebGIS技术,借助地图API,结合Vue前端框架搭建了一款轻量级的城市地质调查信息平台,实现了地质数据的有效管理,提高了平台信息的交互效果,在保证数据信息安全性的同时,满足了用户的功能需求,为城市地质调查工作信息化建设提供了一定参考。

APIE培训模式在高级新手护士核心能力培养中的应用

目的:探讨APIE培训模式在高级新手护士核心能力培养中的应用效果。方法:选取本院185名规范化培训护士作为研究对象,将2019年7月—2020年6月规范化培训护士作为对照组(n=96),2021年7月—2022年6月规范化培训护士作为观察组(n=89)。对照组采用常规教学方法进行培训,观察组在对照组的基础上实施APIE培训教学模式,分析比较两组护士的综合能力、理论与技能考核成绩、培训满意度、护理不良事件发生率情况。结果:观察组综合能力得分、理论与技能考核成绩、培训满意度均优于对照组,差异均有统计学意义(P<0.05)。结论:应用APIE培训模式对高级新手护士核心能力培养取得较好的效果。

基于API分组重构与图像表示的恶意软件检测分类

针对目前恶意软件检测分类方法在特征提取、检测准确率等方面面临的挑战,提出一种基于API分组重构与图像表示的恶意软件检测分类方法。首先,对恶意软件调用的API类别统一编号,将API指令序列中相同编号的API聚合为同一API组,根据恶意软件运行时各类API的首次调用顺序对API组重排序,将各API组的条目数记录为该类API对软件样本的贡献度。经分组重构后,各API组按序组织,其顺序为软件样本调用各类API的顺序。各API组内部有序,其内部各API的排列顺序即为软件样本对单个API的调用顺序。有序化的API分组有助于API指令序列信息的图像化表达。基于重组的API指令序列提取API编号作为全局特征列表、API贡献度作为局部特征列表、API顺序索引作为时序特征列表,对特征列表进行标准化与零填充,转化为统一尺寸的特征数组。其中,API编号能清晰地标识API类别,API贡献度可以表征该API的调用频繁程度,API顺序索引可区分各API被调用的顺序。然后,分别用3类特征数组填充RGB图像的3个通道,生成3通道的API编号贡献度及顺序索引特征图像(Feature image of API code devotion and sequential index,FimgCDS)。最后,将Fimg CDS特征图像输入自主构建的轻量型恶意软件特征图像卷积神经网络(malware feature image convolutional neural network,MficNN)分类器,实现对恶意软件的检测与分类。实验结果表明,本文方法在两类数据集上的检测分类准确率分别为98.66%和98.35%,具有较高的恶意软件检测分类性能指标和检测分类速度。

一种API长圆螺纹套管外螺纹接头虚拟紧密距算法

针对目前紧密距测量效率低、重复性和稳定性较差、易损伤螺纹等问题,提出了一种API长圆螺纹套管外螺纹接头虚拟紧密距的算法。该算法通过测量同一批次套管螺纹的顶径、锥度及少量紧密距即可预测批次内后续石油套管虚拟紧密距值。通过与2种规格的长圆螺纹套管实测结果对比,该虚拟紧密距计算结果与石油套管的实测紧密距具有较好的一致性。同时分析了定扭矩测量和人工手紧测量的情况下虚拟紧密距与实测紧密距的一致性,发现在定扭矩情况下测量的紧密距与虚拟紧密距的一致性更好。研究表明,该方法在保证测量精度的前提下提高了紧密距的检测效率和稳定性,能够作为一种预测方法为石油套管紧密距测量提供参考。

API接口测试方法总结与综述

本文旨在论述API接口测试方法和经验总结,并分析当前在软件开发领域中广泛应用的API接口测试方法。通过对现有文献的参考,归纳总结不同类型的API接口测试方法,分析它们的优势和局限性,为软件测试从业人员提供一个综合性的API接口测试方法和测试实践的参考指南,以促进测试效率和质量的提升。随着互联网和移动应用的普及,软件系统之间的集成变得越来越常见。许多应用程序和服务依赖于外部API接口来获取数据,进行操作或者实现一些特定功能。因此,确保API接口的正确性和稳定性对于应用程序的正常运行至关重要。

企业API网关热插拔插件的设计与实现

为了解决微服务架构下传统API网关扩展能力弱、无法热更新等问题,对API网关扩展性进行研究分析,引入热插拔机制来实现企业API网关热插拔插件,同时,提出了一种企业API网关热插拔插件解决方案。实验结果表明,所提出的API网关的热插拔插件方案在支持网关插件热更新的同时不会对API网关的整体性能造成影响,也不会对业务功能的稳定性造成影响。目前,企业API网关已经在几十家大型企业得到应用,提供了身份鉴权、限流限速、协议转换、请求改写等30余种热插拔插件。通过企业API网关彻底解决了原有API网关无法热更新、热部署、难扩展等问题,减少了40%的重复开发工作,节省了30%运维成本,为企业API网关的进一步发展和应用提供了有益的参考,也为构建高效、安全、可扩展的企业API网关提供了新的思路。

RESTlogic: Detecting Logic Vulnerabilities in Cloud REST APIs

logical testing model and resource lifecycle information,generate test cases and complete parameters,and alleviate inconsistency issues through parameter inference.Once again,we propose a method of analyzing test results using joint state codes and call stack information,which compensates for the shortcomings of traditional analysis methods.We will apply our method to testing REST services,including OpenStack,an open source cloud operating platform for experimental evaluation.We have found a series of inconsistencies,known vulnerabilities,and new unknown logical defects.

Effect of Apis mellifera on community composition of local pollinator bees and their pollination network in Qinling Mountains and surrounding areas

The Qinling Mountains, known for their rich vegetation and diverse pollinating insects, have seen a significant decline in bee species richness and abundance over recent decades, largely due to the introduction and spread of Apis mellifera. This decline has caused cascading effects on the region's community structure and ecosystem stability. To improve the protection of native bees in the natural and agricultural landscape of the Qinling Mountains and its surrounding areas, we investigated 33 sampling sites within three habitats: forest, forest-agriculture ecotones, and farmland. Using a generalized linear mixing model, t-test, and other data analysis methods, we explored the impact of Apis mellifera on local pollinator bee richness, abundance, and the pollination network in different habitats in these regional areas. The results show that(1)Apis mellifera significantly negatively affects the abundance and richness of wild pollinator bees,while Apis cerana abundance is also affected by beekeeping conditions.(2)There are significant negative effects of Apis mellifera on the community structure of pollinator bees in the Qinling Mountains and its surrounding areas: the Shannon-Wiener diversity index, Pielou evenness index, and Margalef richness index of bee communities at sites with Apis mellifera influence were significantly lower than those at sites without Apis mellifera influence.(3)The underlying driver of this effect is the monopolization of flowering resources by Apis mellifera. This species tends to visit flowering plants with large nectar sources, which constitute a significant portion of the local plant community. By maintaining a dominant role in the bee-plant pollination network, Apis mellifera competitively displaces native pollinator bees, reducing their access to floral resources. This ultimately leads to a reduction in local bee-plant interactions, decreasing the complexity and stability of the pollination network. These findings highlight the need for targeted conservation efforts to protect native pollinator species and maintain the ecological balance in the Qinling Mountains.

Further Studies of the Cap Pushing Response in Honey Bees (Apis mellifera)

The Cap Pushing Response (CPR) is a free-flying technique used to study learning and memory in honey bees (Apis mellifera). The series of experiments outlined in this paper aimed to test whether honey bees exhibit the cognitive concept of “expectancy” utilizing the CPR in a weight differentiation paradigm. Five previous experiments in our laboratory have explored whether the concept of expectancy can account for honey bee performance and have all failed to support the cognitive interpretation. The first experiment examined if bees could differentiate between the two caps in the amount of force they used to push the cap and the distance the cap was pushed when the caps were presented one at a time. The second experiment explored cap weight preference by presenting bees with a choice between the two caps. The third and fourth experiments tested the bee’s ability to expect reward or punishment based on cap weight. Results revealed that bees were found to have a strong preference for the light cap and therefore were not able to expect reward or punishment based on cap weight. These experiments contribute to the debate on whether bees have “cognitive” representations and continue to support the behaviorist interpretation.

基于拟态防御技术的API网关安全防护方法

针对当前API网关采用常规防御的方法很难有效防御漏洞、病毒及后门监测所产生的数据安全威胁,提出一种基于拟态防御技术的API网关安全防护方法。首先,在网关通过构建基于熵的异构度和内外安全度计算执行体裁决指标;其次,结合随机调度机制实现可信执行体选择;最后,通过反馈机制实现可信执行体动态调整,从而达到安全防御的闭环并不依赖任何执行条件实现系统的自适应防御。实验表明,所提算法相对于基于优先级调度算法的优势,具有一定的实用性。

基于百度API的轨道站点步行可达范围识别方法

针对传统确定轨道站点步行可达范围的方法存在数据获取困难和适用性局限的问题,文章提出了一种基于路径规划应用程序编程接口(API)确定轨道站点步行可达范围的方法。文章设置轨道站点最大缓冲区,以轨道站点为中心按固定间距布置点阵,直至布满整个缓冲区;构建以轨道站点为起点,点阵为终点的出行路径,并生成每条路径的网页链接,通过Python访问网页链接从而批量获取出行时间数据,将出行时间赋予点阵;可视化分析轨道站点步行可达范围。此方法数据开源,时效性较强,适用范围广,能批量操作,可为轨道站点步行可达范围的确定提供一定的参考。

基于地图API技术的道路拥堵点交通运行状态分析

以东阳市老城区为例,提出应用地图API技术进行道路拥堵点交通运行状态分析的一般流程。首先,按照一定时间间隔分别截取研究范围的实时路况地图,根据路况颜色和持续时间识别道路拥堵点;其次,将研究范围划分成一定数量的网格,利用地图API技术批量获取各网格中心至拥堵点的预估通行时间,评估当前时刻下拥堵点的可达性;最后,获取堵点周边道路各时段的平均行程速度,评估道路运行状态的时间变化特征。通过地图API进行道路堵点识别和运行状态分析,能够大大减少研究者的前期工作量,为后续研究分析提供相对准确的基础数据。

建设API网关对广电的必要性

【目的】随着媒体数字化的发展趋势,广电领域在数字化转型过程中面临的安全挑战,本文强调了建设API网关在应对这些挑战中的必要性,从促进系统集成、提升业务效率、增强系统安全性等方面进行详细分析,旨在为广电领域的数字化转型提供有价值的参考。【方法】首先建立API网关系统,其次建立采用标准化的多种协议和数据格式,让其多种系统对此标准能够达到完美适配,最终扩容系统可无缝衔接,减少定制化对接成本。【结果】API网关允许不同的软件系统之间进行通信和交互,统筹采用标准化的协议和格式以及自定义,以确保不同系统之间的兼容性,在广电领域中,API被广泛应用各种设备和应用程序之间的数据传输和共享,通过广电API,开发人员可以轻松地集成不同的服务和应用,实现数据的快速交换和处理。【结论】本文主要探讨了媒体深度融合的必要性,提出以内容建设为根本、先进技术为支撑、创新管理为保障的全媒体传播体系。此外,还提到了建立融媒中心,并引入API网关系统来实现不同平台、不同业务、不同设备之间的互通互联。媒体深度融合是未来的趋势,通过技术和管理上的创新,建立全媒体传播体系和融媒中心,可以更好地适应时代的发展和满足用户的需求。