Want to see Parasoft in action? Sign up for our Monthly Demos! See Demos & Events >>
Want to see Parasoft in action? Sign up for our Monthly Demos! See Demos & Events >>
API是现代应用程序的构建模块。如果API不安全,系统也不安全。然而,从开发到测试,在AppSec团队中制定一致的API测试策略是一项挑战。
许多开发人员没有将安全性作为优先级来编写代码的经验,AppSec测试人员可能没有足够的API行为知识。为了弥合这一差距,Parasoft SOAtest通过无缝集成动态应用安全测试 (DAST)来扩展其API测试平台,将渗透测试作为开发工作流程的一部分来执行。
Parasoft SOAtest通过API渗透测试和执行复杂的身份验证、加密和访问控制测试场景,帮助您防止安全漏洞。这有助于更早地识别和修复潜在的漏洞,否则这些漏洞要到后期才会被发现。开发人员实时了解API安全问题的影响,以便在sprint中解决这些问题,而QA则通过加入API安全测试来增加覆盖率,并减少DevSecOps团队发现的安全问题的数量。
渗透测试对于发现应用程序中的安全漏洞至关重要。使用Parasoft SOAtest,您可以有效地利用现有的 API功能测试 场景,并为您的自动化CI流程创建安全渗透测试。如果您已经使用了OWASP ZAP,那么您还可以使用现有部署(甚至自定义部署)中的现有测试、配置设置和策略。通过利用现有的安全场景的功能测试,团队可以更早地进行安全测试,并在严重的安全缺陷被深埋在发布之前解决它们。
您的应用程序中有一些你想攻击的特定区域,但它们被隐藏在多个web或API步骤之下。使用SOAtest,您可以定义所需的步骤,使您的应用程序处于可能被渗透的状态,然后启动攻击。
Parasoft SOAtest通过OWASP ZAP提供无缝的动态应用安全测试(DAST)。现在,SOAtest用户可以选择在他们的渗透测试库中使用内置的DAST功能或Parasoft Burp Suite扩展。两者都提供了在API安全测试中重用功能测试场景的能力,以节省关键时间。
作为持续监控活动的一部分,测试人员可以将他们定制的OWASP ZAP扫描策略导入到SOAtest中,并将它们与现有的API测试场景配对来自动化API安全测试。这提供了对新出现的威胁的完全可见性,这些威胁可以被利用到开发人员的功能测试中。
安全测试可以作为自动化CI流程的一部分,通过命令行或通过与诸如Jenkins、Azure DevOps、TeamCity、Bamboo等CI系统的集成来运行。大多数测试工具使得渗透测试成为一个必须手动启动的过程,而与SOAtest的集成使得将渗透测试转变为回归测试成为可能。这种自动化使得团队能够在漏洞被注入到应用程序中时就发现漏洞——否则,漏洞可能要到很久以后才能被发现。
使用Parasoft,您可以通过自动化和CI集成让渗透测试更容易、更有效。
开发人员可以在不牺牲速度或创新的情况下将API安全测试作为他们日常工作的一部分。这减少了DevSecOps环境中经常存在的摩擦,并允许AppSec团队使用通用技术栈与开发人员有效合作,在开发早期意识到安全威胁并确定安全问题。
如果您在开发周期的最后使用专门的工具或手动进行渗透测试,AppSec测试人员就会在较晚的时候暴露安全漏洞,那时问题可能太昂贵或太复杂而无法修复。Parasoft支持渗透测试场景在CI流程中自动化和无缝运行,因此团队可以更快地发现和解决问题。
使用Parasoft,您可以在渗透测试运行时收集代码覆盖率,并在Parasoft的集中式报告服务器中将该数据与所有测试实践(如单元和功能测试)收集的整体代码覆盖率数据进行汇总。
通过渗透测试扩展API测试使开发人员和QA测试人员能够将安全测试左移,并推动更深的测试覆盖,以发现隐藏在复杂API操作中的漏洞。这种全面的方法可以识别 OWASP API安全Top 10 之外的安全威胁,并允许测试人员利用其工具链中的环境。
安全测试失败可以通过Parasoft的集中报告仪表板进行报告,使管理者可以看到安全测试的结果,就像显示和审查功能测试一样。这种完整的测试视图对于用户做出影响业务的明智决策至关重要,尤其是对敏捷开发。