gRPC 通信框架达成存在数据泄露等安全问题

发布时间：2022-08-04 11:31:35 所属栏目：安全来源：互联网

导读：gRPC 是一个高性能、开源和通用的 RPC 框架，面向移动和 HTTP/2 设计。目前提供 C、Java 和 Go 语言版本，分别是：grpc, grpc-java, grpc-go. 其中 C 版本支持C, C++, Node.js, Python, Ruby, Objective-C, PHP 和 C# 支持。当前企业正在慢慢改用微服务架构

　　gRPC 是一个高性能、开源和通用的 RPC 框架，面向移动和 HTTP/2 设计。目前提供 C、Java 和 Go 语言版本，分别是：grpc, grpc-java, grpc-go. 其中 C 版本支持C, C++, Node.js, Python, Ruby, Objective-C, PHP 和 C# 支持。

　　当前企业正在慢慢改用微服务架构来构建面向未来的应用程序，微服务使企业能够有效管理基础架构，轻松部署更新或改进，并帮助IT团队的创新和学习。它还可以帮助企业能够设计出可以轻松按需扩展的应用程序，此外，随着企业转换架构(从传统的单片式服务过渡到微服务)，出现了在微服务之间进行有效通信的需求。客户端和服务器应用程序之间的这种关键而复杂的通信可以通过gRPC来处理，该框架促进了已连接系统之间的透明和高效的通信。尽管它很新(仅在2015年由Google开发)，但它很快就获得了普及和采用。

　　在此文中，趋势科技将讨论开发人员在转向gRPC并在其项目中实现gRPC时可能面临的安全隐患。由于安全的gRPC API在整个应用程序安全中起着至关重要的作用，因此趋势科技提供了有关如何保护gRPC实施免受威胁并缓解风险的建议。

　　什么是gRPC?

　　gRPC可用于设计要求准确性、效率和语言独立性的新协议，因为它支持服务器和客户端的多种语言。这是一个云原生计算(CNCF)项目，并已被各大公司采用，例如流行的视频流网站Netflix，金融服务公司Square和平台即服务(PaaS)公司Docker。

　　gRPC建立在协议缓冲区(或protobuf)之上，后者是Google的平台和语言无关的机制，用于序列化结构化数据。序列化是将内存中的对象转换为字节流的过程，可以轻松地将其保存到文件中或通过网络传输给其他应用程序。开发人员只描述一次数据接口，然后使用用于所选语言的协议缓冲区编译器对其进行编译。对于gRPC，协议缓冲区也用于定义RPC接口。

　　gRPC支持多种编程语言，支持的语言中使用两种类型的实现：使用语言本身的实现，以及封装gRPC C-core编写的代码。这些封装程序可以将以不同支持的语言编写的调用转换为C调用。尽管C语言实现通常可以很好地执行，但由于需要实现更多功能以及内存管理功能，因此开发人员将漏洞引入系统的可能性更高。另一方面，使用诸如Java或Go之类的语言，这些语言已经实现了很多功能，并且还考虑了内存管理问题，这降低了开发人员向系统中引入严重影响的漏洞的机会。值得注意的是，选择合适的语言的重要性可能在保持系统更安全方面起着重要作用。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

浅析信息安全风险评估	几个机器身份管理的优
Kubernetes的零信任基	常用恶意软件剖析方法