REST API自动化测试综述

REST API已经成为访问和使用云服务、Web、移动应用程序的重要途径,如何对这些API进行自动化测试以保证服务的安全性和可靠性是亟待解决的问题。目前虽然关于REST API自动化测试的研究成果众多,但仍缺少对测试技术全面的分析和总结。梳理了该领域近10年的代表性成果,首先总结了REST API自动化测试的发展历程;然后结合REST API自动化测试特征,提炼了测试的通用流程;接着分别从预处理、测试用例生成、测试用例执行与监测、结果分析四个环节阐述现有成果的技术特征,对比分析其优缺点;最后论述当前研究存在的不足,讨论可能的解决思路,展望了下一步研究方向。

基于概率逻辑推理的高阶互补云API推荐方法

云时代,云API作为服务交付、数据交换和能力复制的最佳载体,已成长为当今面向服务软件开发和企业数字化转型不可或缺的核心要素.然而动态开放网络中持续增长的云API在给开发者提供了更多选择的同时,也将其淹没在海量的云API选择之中,设计有效的云API推荐方法就此成为API经济健康发展中迫切要解决的现实问题.但是,现有研究主要利用搜索关键词、服务质量和调用偏好进行建模,生成质量高功能单一的云API推荐列表,没有考虑服务化软件实际开发中开发者对多元化高阶互补云API的客观需要.高阶互补云API推荐旨在为多个查询云API生成多元互补云API列表,要求推荐结果与查询云API均互补,以满足开发者的联合需求.针对此问题,本文提出基于概率逻辑推理的高阶互补云API推荐方法(Probabilistic Logic Reasoning for High-order Complementary Cloud API Recom⁃mendation,PLR4HCCR).首先,通过云API生态真实数据分析论证云API互补推荐需求的必要性和互补关系建模中替补噪声的客观存在,为云API互补推荐问题研究提供动机和数据支持.其次,采用Beta概率嵌入对云API及其之间的关系约束进行编码,以刻画云API间互补关系的不确定性和支持互补逻辑推理.接着,设计由投影、取反和交并三个基本逻辑算子构建的互补关系逻辑推理网络,使查询集中的每个云API获得非对称互补关系感知和替补噪声消解约束下的互补云API表示.然后,引入注意力机制为查询云API的互补云API分配不同权重,增强高阶互补云API基向量的表征能力.在此基础上,采用KL散度度量高阶互补云API基向量与候选云API之间的距离,并根据KL散度排序生成高阶互补性可感知下的云API推荐结果.最后,我们利用两个真实云API数据集在不同阶互补推荐场景下进行实验,实验表明,与传统启发式推荐方法和深度学习推荐方法相比,PLR4HCCR在互补关系感知推理和替补噪声消解方面均具有较大的优势,继而使其在低阶、高阶和混合阶互补云API推荐中均展示出更优的推荐效果和更强的泛化能力.进一步,超参数敏感性实验、实例分析和用户调查验证了方法的有效性、实用性和可行性,这使结合高阶互补关系的云API推荐方法PLR4HCCR不仅更有可能生成开发者满意的结果,而且可有效提升云API服务提供者的收益.

基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题,提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征,采用Word2Vec模型提取语义特征,将统计特征和语义特征进行特征融合,作为API调用序列的特征.设计了基于Stacking的三层检测模型,通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明,提出的特征提取方法可以获得更关键的特征,设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性,证明了检测方法的有效性.

通过交叉验证堆栈和VAD信息检测Windows代码注入

Windows 32/64位代码注入攻击是恶意软件常用的攻击技术,在内存取证领域,现存的代码注入攻击检测技术在验证完整性方面不能处理动态内容,并且在解析内存中数据结构方面无法兼容不同版本的Windows系统。因此提出了通过交叉验证进程堆栈和VAD信息定位注入代码方法,将基于遍历栈帧得到的函数返回地址、模块名等信息结合进程VAD结构来检测函数返回地址、匹配文件名以定位注入代码,并且研发了基于Volatility取证框架的Windows代码注入攻击检测插件codefind。测试结果表明,即使在VAD节点被恶意软件修改,方法仍能够有效定位Windows 32/64位注入代码攻击。

Docker API与SpringBoot Actuator未授权访问风险分析与防范研究

随着云计算技术的普及和容器化技术的发展,Docker和SpringBoot已成为现代软件开发和部署的重要工具。然而,这种广泛的使用也伴随着安全风险。针对DockerAPI与SpringBoot Actuator的未授权访问风险进行了深入分析。当这些关键组件暴露于未授权访问之下时,攻击者可能利用这些漏洞执行恶意操作,如部署恶意容器、篡改应用程序配置或窃取敏感信息。这些行为不仅可能导致服务中断和数据泄露,还可能对企业造成严重的声誉和财务损失。

某三级甲等公立医院API接口安全监测实践与思考

目的:建立医院API接口资产台账,实现API接口的统一集中管理,并对API接口的运行状态进行实时监控,及时发现接口安全风险并整改,提升医院信息安全防护水平。方法:以某三级甲等公立医院为例,通过人工和系统识别相结合的方式,梳理医院API接口,建立台账,利用API接口监测设备对网络流量实时监测,识别安全风险并整改、加固。结果:实现了全院API接口的集中统一管理,提升了医院信息安全防护水平,保障医疗数据在信息系统间的安全共享和流通。结论:对API接口进行安全监测,有助于发现医疗机构应用系统安全风险,提升医疗机构网络安全防护能力,保障医疗数据安全。

基于API潜在语义的勒索软件早期检测方法

加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(Dynamic Link Library,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(Initial Phase of Operation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(Ransomware Early Detection Method based on API Latent Semantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(Term Frequency-Inverse Document Frequency)算法以及潜在语义分析(Latent Semantic Analysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.

API 521—2020火灾环境下气体压力容器安全泄放量计算讨论

为深入理解压力容器超压泄放设计,针对火灾环境下无隔热气体压力容器的安全泄放量计算问题,推导了气体压力容器泄放过程的质量及能量平衡方程,分析了方程求解过程的简化及假设条件,明确了API 520—2020标准内火灾环境无隔热气体压力容器安全泄放量公式的来源,研究了各简化假设条件对安全泄放量计算结果的影响。结果表明,API 521—2020安全泄放量公式是在质量平衡及能量平衡方程基础上,对一些参数进行工程简化得到的。其假设简化条件包括:泄放过程定压、火焰热量经壁面完全传递至气体、大空间竖直平板自然对流、采用常温常压空气物性简化实际气体的h'/(c_(p)M^(1/2))、理想气体假设、容器壁面不发生破坏及壁面温度推荐取固定值。上述简化及假设条件均使安全泄放量计算结果偏于保守,在应用时偏安全。研究可为科学开展火灾环境下气体压力容器超压泄放设计提供一定的指导。

异常信息敏感的框架API生命周期模型构造

大型软件系统的实现依赖于底层框架或第三方库,但这些复杂的框架/库代码在演化升级时往往独立于其调用者,为上层软件的质量保障带来挑战.例如,框架/库代码演化时新增和删除API、更改API的代码语义等行为会导致框架/库代码的不同版本之间不兼容,进而在上层应用开发者更新版本时,影响应用代码的正确性.为应对这一问题,需精准提取框架/库代码API的演化过程,形成演化报告,协助上层应用开发者选择兼容的版本或快速进行代码适配.其中,框架/库代码API的演化过程分析对应着框架API生命周期模型构造.现有工作中的API生命周期模型主要关注API的存在性变动,而未考虑特定代码语义变更对开发者的影响,特别是异常相关代码带来的语义变更,给上层软件系统带来隐患.为此,本文采用面向Java字节码的静态分析方法,识别框架API中的异常抛出行为并为其生成异常摘要报告,通过多轮流式匹配策略获取异常信息的变更情况,最终为框架/库代码构造异常信息敏感的API生命周期模型.该方法:(1)通过控制依赖语句切片提取异常抛出语句的关键触发条件,采用参数推断策略将局部变量的约束条件转换为仅与外部输入参数相关的异常前断言,并基于自底向上的摘要传递实现跨过程异常摘要提取;(2)通过关键信息精准匹配和自适应模糊匹配策略,分析异常摘要信息的新增、删除和修改情况,最终得到异常敏感的API生命周期模型(共涉及七种API变更形式).基于该方法,实现了基于Java字节码分析的API生命周期提取工具JavaExP.与现有最新方法相比,JavaExP的异常摘要信息提取准确性(F1值)提高了67%,分析用时减少了87%.对真实项目的API生命周期演化分析表明,与异常不敏感的API生命周期模型相比,采用异常敏感的模型时,API发生变动的比例提高了18%.在75,433个被分析的API中,约有20%API的异常抛出行为至少发生过一次改变,这些API共涉及超过七千多处独立的异常变更.在多个项目上的分析结果表明,异常敏感的模型构造能够更加精准地描述API的演化过程.

APIE培训模式在高级新手护士核心能力培养中的应用

目的:探讨APIE培训模式在高级新手护士核心能力培养中的应用效果。方法:选取本院185名规范化培训护士作为研究对象,将2019年7月—2020年6月规范化培训护士作为对照组(n=96),2021年7月—2022年6月规范化培训护士作为观察组(n=89)。对照组采用常规教学方法进行培训,观察组在对照组的基础上实施APIE培训教学模式,分析比较两组护士的综合能力、理论与技能考核成绩、培训满意度、护理不良事件发生率情况。结果:观察组综合能力得分、理论与技能考核成绩、培训满意度均优于对照组,差异均有统计学意义(P<0.05)。结论:应用APIE培训模式对高级新手护士核心能力培养取得较好的效果。

基于地图API的城市地质调查信息平台

城市地质调查信息的有效处理是地质调查工作的重要环节。文章基于WebGIS技术,借助地图API,结合Vue前端框架搭建了一款轻量级的城市地质调查信息平台,实现了地质数据的有效管理,提高了平台信息的交互效果,在保证数据信息安全性的同时,满足了用户的功能需求,为城市地质调查工作信息化建设提供了一定参考。

一种API长圆螺纹套管外螺纹接头虚拟紧密距算法

针对目前紧密距测量效率低、重复性和稳定性较差、易损伤螺纹等问题,提出了一种API长圆螺纹套管外螺纹接头虚拟紧密距的算法。该算法通过测量同一批次套管螺纹的顶径、锥度及少量紧密距即可预测批次内后续石油套管虚拟紧密距值。通过与2种规格的长圆螺纹套管实测结果对比,该虚拟紧密距计算结果与石油套管的实测紧密距具有较好的一致性。同时分析了定扭矩测量和人工手紧测量的情况下虚拟紧密距与实测紧密距的一致性,发现在定扭矩情况下测量的紧密距与虚拟紧密距的一致性更好。研究表明,该方法在保证测量精度的前提下提高了紧密距的检测效率和稳定性,能够作为一种预测方法为石油套管紧密距测量提供参考。

企业API网关热插拔插件的设计与实现

为了解决微服务架构下传统API网关扩展能力弱、无法热更新等问题,对API网关扩展性进行研究分析,引入热插拔机制来实现企业API网关热插拔插件,同时,提出了一种企业API网关热插拔插件解决方案。实验结果表明,所提出的API网关的热插拔插件方案在支持网关插件热更新的同时不会对API网关的整体性能造成影响,也不会对业务功能的稳定性造成影响。目前,企业API网关已经在几十家大型企业得到应用,提供了身份鉴权、限流限速、协议转换、请求改写等30余种热插拔插件。通过企业API网关彻底解决了原有API网关无法热更新、热部署、难扩展等问题,减少了40%的重复开发工作,节省了30%运维成本,为企业API网关的进一步发展和应用提供了有益的参考,也为构建高效、安全、可扩展的企业API网关提供了新的思路。

基于Windows/RTX的实时仿测软件设计

针对传统测试软件实时性有限、传统仿真接口软件通用性程度低的问题,为满足半实物仿真软件需兼顾单元测试和控制系统仿真验证的需求,设计了基于Windows/RTX的实时仿测软件。仿测软件采用模块化的设计原则,开发了GUI层人机交互界面和RTX层实时运行程序。为保证实时性,采用无锁循环缓冲区+双线程技术,解决了RTX环境下仿真步长为1 ms时串口数据收发的超时问题;提出一种超时检测算法监测仿真节点的实时状态。借助cJSON优化了测试用例配置文件,用户可以更灵活地编辑测试用例,利用RTW自动代码生成将弹体模型编译集成到RTX仿测软件工程。实验结果表明:该仿测软件有效兼顾了单测与仿真,提高了仿测软件的通用性和二次开发效率,降低了开发难度。

Bimetallic In_(2)O_(3)/Bi_(2)O_(3) Catalysts Enable Highly Selective CO_(2) Electroreduction to Formate within Ultra-Broad Potential Windows

CO_(2)electrochemical reduction reaction(CO_(2)RR)to formate is a hopeful pathway for reducing CO_(2)and producing high-value chemicals,which needs highly selective catalysts with ultra-broad potential windows to meet the industrial demands.Herein,the nanorod-like bimetallic ln_(2)O_(3)/Bi_(2)O_(3)catalysts were successfully synthesized by pyrolysis of bimetallic InBi-MOF precursors.The abundant oxygen vacancies generated from the lattice mismatch of Bi_(2)O_(3)and ln_(2)O_(3)reduced the activation energy of CO_(2)to*CO_(2)·^(-)and improved the selectivity of*CO_(2)·^(-)to formate simultaneously.Meanwhile,the carbon skeleton derived from the pyrolysis of organic framework of InBi-MOF provided a conductive network to accelerate the electrons transmission.The catalyst exhibited an ultra-broad applied potential window of 1200 mV(from-0.4 to-1.6 V vs RHE),relativistic high Faradaic efficiency of formate(99.92%)and satisfactory stability after 30 h.The in situ FT-IR experiment and DFT calculation verified that the abundant oxygen vacancies on the surface of catalysts can easily absorb CO_(2)molecules,and oxygen vacancy path is dominant pathway.This work provides a convenient method to construct high-performance bimetallic catalysts for the industrial application of CO_(2)RR.

Further Studies of the Cap Pushing Response in Honey Bees (Apis mellifera)

The Cap Pushing Response (CPR) is a free-flying technique used to study learning and memory in honey bees (Apis mellifera). The series of experiments outlined in this paper aimed to test whether honey bees exhibit the cognitive concept of “expectancy” utilizing the CPR in a weight differentiation paradigm. Five previous experiments in our laboratory have explored whether the concept of expectancy can account for honey bee performance and have all failed to support the cognitive interpretation. The first experiment examined if bees could differentiate between the two caps in the amount of force they used to push the cap and the distance the cap was pushed when the caps were presented one at a time. The second experiment explored cap weight preference by presenting bees with a choice between the two caps. The third and fourth experiments tested the bee’s ability to expect reward or punishment based on cap weight. Results revealed that bees were found to have a strong preference for the light cap and therefore were not able to expect reward or punishment based on cap weight. These experiments contribute to the debate on whether bees have “cognitive” representations and continue to support the behaviorist interpretation.

基于拟态防御技术的API网关安全防护方法

针对当前API网关采用常规防御的方法很难有效防御漏洞、病毒及后门监测所产生的数据安全威胁,提出一种基于拟态防御技术的API网关安全防护方法。首先,在网关通过构建基于熵的异构度和内外安全度计算执行体裁决指标;其次,结合随机调度机制实现可信执行体选择;最后,通过反馈机制实现可信执行体动态调整,从而达到安全防御的闭环并不依赖任何执行条件实现系统的自适应防御。实验表明,所提算法相对于基于优先级调度算法的优势,具有一定的实用性。

基于百度API的轨道站点步行可达范围识别方法

针对传统确定轨道站点步行可达范围的方法存在数据获取困难和适用性局限的问题,文章提出了一种基于路径规划应用程序编程接口(API)确定轨道站点步行可达范围的方法。文章设置轨道站点最大缓冲区,以轨道站点为中心按固定间距布置点阵,直至布满整个缓冲区;构建以轨道站点为起点,点阵为终点的出行路径,并生成每条路径的网页链接,通过Python访问网页链接从而批量获取出行时间数据,将出行时间赋予点阵;可视化分析轨道站点步行可达范围。此方法数据开源,时效性较强,适用范围广,能批量操作,可为轨道站点步行可达范围的确定提供一定的参考。

基于地图API技术的道路拥堵点交通运行状态分析

以东阳市老城区为例,提出应用地图API技术进行道路拥堵点交通运行状态分析的一般流程。首先,按照一定时间间隔分别截取研究范围的实时路况地图,根据路况颜色和持续时间识别道路拥堵点;其次,将研究范围划分成一定数量的网格,利用地图API技术批量获取各网格中心至拥堵点的预估通行时间,评估当前时刻下拥堵点的可达性;最后,获取堵点周边道路各时段的平均行程速度,评估道路运行状态的时间变化特征。通过地图API进行道路堵点识别和运行状态分析,能够大大减少研究者的前期工作量,为后续研究分析提供相对准确的基础数据。

基于地图API的公共绿地可达性分析

公共绿地的可达性是评价绿色基础设施配置合理性的重要指标,能直观表征市民获取、享受绿地的便捷程度与机会。在可达性分析中引入地图API服务,基于轻量级路线规划服务结合ArcGIS构建等时圈来表征可达性,能够提高分析的直观度与精度;同时以人口密度表征片区内居民对公共绿地的需求程度,通过双变量空间自相关分析反映公共绿地供给与需求之间的匹配程度,提高评价的全面性。基于构建的可达性分析模型,以上海黄浦区淮海中路街道为例进行了实证分析,研究得出淮海中路街道绿地资源配置存在不合理性,在研究范围西南部分形成了较大面积服务盲区。同时绿地资源在空间布局上相对集中,供大过需、供小于需的供需不匹配现象明显。未来片区内公共绿地建设应以居民需求为指引,注重小尺度公共绿地的增量建设,并对利用率较低的附属绿地或公共空间进行存量提质优化。