### [Metlo](https://dkwy.com/)

**Published:** 2026-05-06T07:31:50

**Author:** 蛋壳

**Excerpt:** Metlo是一个开源平台，旨在通过自动发现所有API端点、扫描敏感数据以及实时检测漏洞和攻击来保护API安全。该平台使组织能够清点其API全景，为端点分配风险评分，并在部署前主动测试安全问题。Metlo提供灵活的部署选项，包括托管云服务、自托管解决方案和完全开源版本，适用于各种规模的企业。其无代理设置允许无需代码更改即可快速集成，并提供端到端加密以保护捕获的数据。

## 产品概述

Metlo是一个开源平台，旨在通过自动发现所有API端点、扫描敏感数据以及实时检测漏洞和攻击来保护API安全。该平台使组织能够清点其API全景，为端点分配风险评分，并在部署前主动测试安全问题。Metlo提供灵活的部署选项，包括托管云服务、自托管解决方案和完全开源版本，适用于各种规模的企业。其无代理设置允许无需代码更改即可快速集成，并提供端到端加密以保护捕获的数据。

## 主要功能

|     |     |
| --- | --- |
| **全面的端点发现** | 自动扫描网络流量以清点所有API端点，包括遗留、未记录和影子端点。 |
| **敏感数据扫描和风险评分** | 识别处理个人身份信息（PII）的端点，分配风险评分，并突出显示高风险区域。 |
| **实时攻击检测和拦截** | 监控API流量中的恶意行为，检测SQL注入和XSS等攻击，并实时拦截恶意用户。 |
| **可定制的安全测试** | 允许用户在平台内直接构建和运行自动化安全测试，包括针对OWASP十大漏洞的测试。 |
| **CI/CD流程集成** | 与CI/CD工作流集成，在开发和测试阶段识别并修复安全问题。 |
| **端到端数据加密** | 使用公钥-私钥加密对捕获的所有API流量进行加密，确保敏感信息受到保护。 |

## 使用场景

-   **API清单管理：**获取所有API端点的可见性，包括未记录或遗留的API，以维持全面的安全态势。
-   **敏感数据保护：**识别并监控处理个人身份信息或金融数据的端点，优先考虑安全措施和合规性。
-   **主动漏洞测试：**运行自动化和自定义安全测试，在API暴露到生产环境之前检测并修复漏洞。
-   **实时威胁检测：**监控API流量以检测和阻止恶意请求，降低成功攻击的风险。
-   **监管合规支持：**通过提供详细的审计跟踪和API端点风险评估，帮助满足合规要求。



---