API 安全中的“左移”測試

zktq2021發表於2023-12-06

在 API 預生產中捕獲編碼錯誤,在它們啟動並上線之前,對於防止可利用的漏洞至關重要。這就是為什麼“左移”成為 API 開發中的一個重要焦點。DevOps 負責將安全測試納入軟體開發生命週期 (SDLC),從而降低修復編碼錯誤和漏洞的時間成本和費用。

對於開發人員來說,修復程式碼或瞭解漏洞利用的機率是非常耗費時間和精力的,對於安全測試團隊來說程式碼安全很有必要,因此自動化安全測試工具可以很好的解決這類問題。

自動化 API 安全測試主要使用兩種應用程式安全方法中的工具:靜態應用程式安全測試(SAST)和動態應用程式安全測試(DAST)。

SAST用於透過分析原始碼來檢測漏洞,正因為如此,SAST往往在開發過程的早期使用,可以直接整合到API開發環境中,如 IDE、錯誤跟蹤系統和持續整合 (CI)/持續開發 (CD) 工具。當標準規範能夠檢測 API 中的常見實現問題(如錯誤公開的 API、引數、錯誤程式碼和訊息)時,SAST 的效果很好。

相比之下,DAST是一種漏洞掃描工具,用於探測生產或非生產環境中正在執行的應用程式,但無法訪問原始碼。API的DAST的基本需求之一是工具需要理解API,其中包括它所公開的語法和業務邏輯。DAST從使用者/攻擊者的角度發現問題,並傾向於在開發過程的後期階段使用。

“左移”測試可以幫助發現和修復存在的安全漏洞和風險,提高API的安全性。透過對API進行測試,可以降低惡意攻擊的風險,保護使用者資料和系統的安全。此外,建立安全測試流程和頻繁進行安全測試,可以幫助發現新的安全威脅,並及時做出相應的改進和修復措施,提高應對安全威脅的能力。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2998961/,如需轉載,請註明出處,否則將追究法律責任。

相關文章