La catégorie API et service Web garantit que les applications disposent d’une authentification, d’une autorisation et d’une gestion des sessions appropriées, qu’elles valident toutes les entrées qui traversent une limite de confiance et incluent des contrôles de sécurité pour tous les types d’API.

Des contrôles spécifiques dans cette catégorie traitent la validation de l’entrée par type de service, tels que la validation de schéma XDS pour les services Web SOAP ou la protection contre le déni de service pour les API GraphQL.