Want to see Parasoft in action? Sign up for our Monthly Demos! See Demos & Events >>

X
API安全测试

使用Parasoft SOAtest + DAST进行API安全测试

使用现有的API功能测试场景来自动创建安全测试,将渗透测试添加到您的自动化CI流程中。

新版本: 版本 2021.2 现已推出!

提高开发、QA和测试人员之间的合作

API是现代应用程序的构建模块。如果API不安全,系统也不安全。然而,从开发到测试,在AppSec团队中制定一致的API测试策略是一项挑战。

许多开发人员没有将安全性作为优先级来编写代码的经验,AppSec测试人员可能没有足够的API行为知识。为了弥合这一差距,Parasoft SOAtest通过无缝集成动态应用安全测试 (DAST)来扩展其API测试平台,将渗透测试作为开发工作流程的一部分来执行。

扩展API测试策略

Parasoft SOAtest通过API渗透测试和执行复杂的身份验证、加密和访问控制测试场景,帮助您防止安全漏洞。这有助于更早地识别和修复潜在的漏洞,否则这些漏洞要到后期才会被发现。开发人员实时了解API安全问题的影响,以便在sprint中解决这些问题,而QA则通过加入API安全测试来增加覆盖率,并减少DevSecOps团队发现的安全问题的数量。

利用现有测试

渗透测试对于发现应用程序中的安全漏洞至关重要。使用Parasoft SOAtest,您可以有效地利用现有的 API功能测试 场景,并为您的自动化CI流程创建安全渗透测试。如果您已经使用了OWASP ZAP,那么您还可以使用现有部署(甚至自定义部署)中的现有测试、配置设置和策略。通过利用现有的安全场景的功能测试,团队可以更早地进行安全测试,并在严重的安全缺陷被深埋在发布之前解决它们。

API安全测试特征

您的应用程序中有一些你想攻击的特定区域,但它们被隐藏在多个web或API步骤之下。使用SOAtest,您可以定义所需的步骤,使您的应用程序处于可能被渗透的状态,然后启动攻击。

Parasoft SOAtest通过OWASP ZAP提供无缝的动态应用安全测试(DAST)。现在,SOAtest用户可以选择在他们的渗透测试库中使用内置的DAST功能或Parasoft Burp Suite扩展。两者都提供了在API安全测试中重用功能测试场景的能力,以节省关键时间。

作为持续监控活动的一部分,测试人员可以将他们定制的OWASP ZAP扫描策略导入到SOAtest中,并将它们与现有的API测试场景配对来自动化API安全测试。这提供了对新出现的威胁的完全可见性,这些威胁可以被利用到开发人员的功能测试中。

安全测试可以作为自动化CI流程的一部分,通过命令行或通过与诸如Jenkins、Azure DevOps、TeamCity、Bamboo等CI系统的集成来运行。大多数测试工具使得渗透测试成为一个必须手动启动的过程,而与SOAtest的集成使得将渗透测试转变为回归测试成为可能。这种自动化使得团队能够在漏洞被注入到应用程序中时就发现漏洞——否则,漏洞可能要到很久以后才能被发现。

从Parasoft中受益

使用Parasoft,您可以通过自动化和CI集成让渗透测试更容易、更有效。

减少摩擦,提高开发人员的能力

开发人员可以在不牺牲速度或创新的情况下将API安全测试作为他们日常工作的一部分。这减少了DevSecOps环境中经常存在的摩擦,并允许AppSec团队使用通用技术栈与开发人员有效合作,在开发早期意识到安全威胁并确定安全问题。

通过渗透测试减少返工影响

如果您在开发周期的最后使用专门的工具或手动进行渗透测试,AppSec测试人员就会在较晚的时候暴露安全漏洞,那时问题可能太昂贵或太复杂而无法修复。Parasoft支持渗透测试场景在CI流程中自动化和无缝运行,因此团队可以更快地发现和解决问题。

在测试运行中收集代码覆盖率

使用Parasoft,您可以在渗透测试运行时收集代码覆盖率,并在Parasoft的集中式报告服务器中将该数据与所有测试实践(如单元和功能测试)收集的整体代码覆盖率数据进行汇总。

为API测试驱动更深入的测试覆盖

通过渗透测试扩展API测试使开发人员和QA测试人员能够将安全测试左移,并推动更深的测试覆盖,以发现隐藏在复杂API操作中的漏洞。这种全面的方法可以识别 OWASP API安全Top 10 之外的安全威胁,并允许测试人员利用其工具链中的环境。

在环境中查看安全测试结果

安全测试失败可以通过Parasoft的集中报告仪表板进行报告,使管理者可以看到安全测试的结果,就像显示和审查功能测试一样。这种完整的测试视图对于用户做出影响业务的明智决策至关重要,尤其是对敏捷开发。