Per l'analisi dei rischi è stata utilizzata la Metodologia di Valutazione del Rischio OWASP.
La tabella seguente riassume la terminologia associata al punteggio di rischio.
| Agenti di Minaccia | Sfruttabilità | Diffusione della Debolezza | Rilevabilità della Debolezza | Impatto Tecnico | Impatti sul Business |
|---|---|---|---|---|---|
| Specifico per API | Facile: 3 | Diffusa 3 | Facile 3 | Grave 3 | Specifico per il Business |
| Specifico per API | Media: 2 | Comune 2 | Media 2 | Moderato 2 | Specifico per il Business |
| Specifico per API | Difficile: 1 | Difficile 1 | Difficile 1 | Minore 1 | Specifico per il Business |
Nota: Questo approccio non tiene conto della probabilità che l'agente di minaccia si materializzi, né dei vari dettagli tecnici specifici della tua applicazione. Ognuno di questi fattori potrebbe influenzare significativamente la probabilità complessiva che un attaccante trovi e sfrutti una determinata vulnerabilità. Questa valutazione non considera l'impatto reale sul tuo business. La tua organizzazione dovrà decidere quale livello di rischio di sicurezza delle applicazioni e delle API è disposta ad accettare, tenendo conto della propria cultura, del settore di appartenenza e del contesto normativo. Lo scopo dell'OWASP API Security Top 10 non è quello di effettuare questa analisi del rischio al posto tuo.