作者 |黃杉華東師范大學軟件工程學院博士

蘇亭 華東師范大學軟件工程學院教授

版塊 |鑒源論壇 · 觀模

社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區”

01

應用程序編程接口（API）

應用程序編程接口，英文全稱為Application Programming Interface[7]（簡稱API），是一組定義了軟件組件如何互相通信和交互的規則和協議。和用戶接口（User Interface，簡稱UI）不同，API的目的是連接不同的軟件，允許不同的軟件應用程序之間共享功能和數據，而無需了解其內部實現細節。

API的表現形式一般是使用某種編程語言編寫的函數（function）或者數據結構（data structure）。對一個應用程序中的編程接口進行定義和說明的文檔被稱為API規格說明（API specification）。公開的API和其對應的規格說明使得該應用程序開發者之外的開發人員能夠調用這些API，并通過新編寫的軟件邏輯實現新功能或者對原有功能進行擴展。這使得開發人員能夠構建更加模塊化、可擴展和可重用的軟件。API在現代軟件開發中起著重要作用，它們促進了分布式系統、微服務架構和應用程序集成。通過使用API，開發人員可以利用現有功能，加快開發速度，提高代碼的可維護性和可重用性。

02

自動化API測試

隨著軟件技術的發展，由于軟件結構的高度復雜和軟件開發周期的不斷縮短，為了確保應用程序的質量和安全，API自身的功能正確性和使用安全性越來越重要，能快速有效地對API進行測試是關鍵。API測試是一種直接對API進行測試的軟件測試技術，主要用于保證開發人員所編寫的API滿足給定的功能目標、性能目標和安全目標。

現代軟件的架構大部分采用模塊化和分層化的模式，各模塊和層次之間通過API進行功能交互和數據傳輸。當某個模塊或者軟件層提供的API存在軟件錯誤（bug），那么依賴該模塊或者該軟件層的其他模塊和軟件層自身功能也將出現錯誤。最壞情況下可能導致應用程序整體出錯，影響用戶使用體驗，危害用戶數據安全。因此，API測試是非常必要且需要重視的一個軟件開發流程階段。當API測試足夠充分并且結果表明被測API正確無誤時，使用這些API構建的應用程序或者程序功能才有基礎的質量和安全保障。

從最初的軟件開發瀑布模型（Waterfall model）到時下流行的敏捷開發（Agile development）和DevOps，軟件開發周期不斷縮短，使得如何高效保障應用程序的質量和安全受到更多的關注，也就催生了自動化測試（Automated testing）。API測試也順勢進入自動化時代。從通用自動化API測試技術（如單元測試、模糊測試）到特定編程語言的測試框架（如pytest[9]、JUnit[10]），從傳統的應用程序編程庫（library）API測試到Web場景下的RESTful API測試，自動化API測試技術得到廣泛發展。

03

自動化API測試對象

自動化API測試的對象目前主要分為兩種：函數級API（Function-level API）和RESTful API。前者是傳統的程序編程庫（或者稱為第三方庫）或者系統庫中為開發者提供的API接口，需要開發者在軟件代碼中實際調用才能夠發揮作用。后者則是在Web和云場景下廣泛使用的具有REST規范的API，一般以客戶端向服務器發起HTTP請求的形式呈現。對兩者進行自動化測試在形式上相同，都需要測試人員編寫特定的測試驅動進行API調用來完成測試，測試的重要內容也都是檢查API調用的執行結果是否符合預期以及API執行過程中是否出現錯誤。而不同之處在于，函數級API通常運行在本地環境，而RESTful API運行在云端環境，API的調用形式不同，整體的交互環境和測試框架也有所差異。

3.1函數級 API

函數級API（Function-level API）主要是指庫API和系統調用。一般軟件開發過程中，開發人員編寫的單個函數或者軟件模塊中暴露的API接口也屬于函數級API范疇。對于這一類API的自動化測試主要通過由開發人員編寫的或者自動生成的測試驅動（test driver）完成。

庫API指的是SDK（Software Development Kit）、標準庫（Standard libraries）和第三方庫（Third-party libraries）開放給軟件開發人員調用的函數，如Android SDK和Python官方標準庫中的API。庫API通常是構建整個應用程序的基礎，軟件提供給用戶的各種高級功能都將通過調用已有API或者組合已有API的方式實現，因此庫API的正確性和安全性不言而喻。

系統調用（syscall）指的是操作系統中提供給開發人員進行用戶空間和系統內核進行交互的接口，用于訪問底層的操作系統功能，如Linux中的open、malloc和fork。

3.2RESTful API

RESTful API通過直觀簡短的統一資源標識符（URI）定義資源，通過JSON、XML等文件格式進行數據傳輸。RESTful API使用基于HTTP動詞的語義的操作來操作這些資源，例如GET、POST、DELETE和PUT。在處理HTTP請求期間，API可能需要從數據庫讀取/寫入數據，并與其他web服務通信。測試RESTful API不僅需要為不同的端點編寫HTTP消息，還需要選擇正確的查詢參數，以及正文有效載荷消息。

本文系統介紹了應用程序編程接口（API）的概念及其在軟件開發中的作用與重要性，重點分享自動化API測試的發展歷程與測試對象。后續，在基于應用程序編程接口（API）的自動化測試（下）中，筆者將深入剖析單元測試、模糊測試等當前主流的自動化API測試形式與技術。

參考文獻：

[1] Vaggelis Atlidakis, Patrice Godefroid, and Marina Polishchuk. 2019. RESTler: Stateful REST API Fuzzing. In 2019 IEEE/ACM 41st International Conference on Software Engineering (ICSE), 748–758.

[2] Domagoj Babi?, Stefan Bucur, Yaohui Chen, Franjo Ivan?i?, Tim King, Markus Kusano, Caroline Lemieux, László Szekeres, and Wei Wang. 2019. FUDGE: fuzz driver generation at scale. In Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering (ESEC/FSE 2019), Association for Computing Machinery, New York, NY, USA, 975–985.

[3] Sujit Kumar Chakrabarti and Prashant Kumar. 2009. Test-the-REST: An Approach to Testing RESTful Web-Services. In 2009 Computation World: Future Computing, Service Computation, Cognitive, Adaptive, Content, Patterns, 302–308

[4] Harrison Green and Thanassis Avgerinos. 2022. GraphFuzz: Library API Fuzzing with Lifetime-aware Dataflow Graphs. In 2022 IEEE/ACM 44th International Conference on Software Engineering (ICSE), 1070–1081

[5] Kyriakos Ispoglou, Daniel Austin, Vishwath Mohan, and Mathias Payer. 2020. {FuzzGen}: Automatic Fuzzer Generation. 2271–2287. Retrieved July 5, 2023

[6] Carlos Pacheco, Shuvendu K. Lahiri, Michael D. Ernst, and Thomas Ball. 2007. Feedback-Directed Random Test Generation. In 29th International Conference on Software Engineering (ICSE’07), IEEE, Minneapolis, MN, USA, 75–84.

[7] 2023. API. Wikipedia. Retrieved August 16, 2023

[8] 2023. EvoMaster: A Tool For Automatically Generating System-Level Test Cases. Retrieved August 16, 2023

[9] pytest: helps you write better programs — pytest documentation. Retrieved August 16, 2023

[10] JUnit 5. Retrieved August 16, 2023

[11] libFuzzer – a library for coverage-guided fuzz testing. — LLVM 18.0.0git documentation. Retrieved August 16, 2023

審核編輯 黃宇