Schritt 1
Autorisierungsgrenzen validieren
Bestätigen Sie, dass jeder Endpoint explizite Authentifizierung und Rollenprüfungen erzwingt und Workspace-Zugriffsgrenzen in Query-Filtern nutzt.
- Prüfen Sie die RBAC-Durchsetzung für Lese- und Schreiboperationen.
- Bestätigen Sie, dass Tenant-Datenzugriff auf den aktiven Workspace begrenzt ist.
- Prüfen Sie reine Admin-Flows und deren Schutz für erhöhte Berechtigungen.
Schritt 2
Missbrauchsschutz validieren
Prüfen Sie, dass sensible API-Flows Request-Limits enthalten und kostenintensive Operationen nicht missbraucht werden können.
- Prüfen Sie Auth-Rate-Limits und das 429-Verhalten.
- Prüfen Sie Rate-Limits für Tenant-Lifecycle und Identitätsverwaltung.
- Prüfen Sie Fairness-Kontrollen pro Tenant bei hoher Ingest-Last.
Schritt 3
Inventar und Änderungssteuerung validieren
Verwenden Sie ein versioniertes API-Inventar und einen Deprecation-Plan, damit Kontrollen mit der aktiven Endpoint-Fläche übereinstimmen.
- Prüfen Sie Inventareinträge mit Auth-Modell und Zugriffsgrenzen.
- Verfolgen Sie Deprecations mit konkreten Zieldaten.
- Wiederholen Sie diese Prüfung mindestens einmal pro Quartal.