Seien Sie am 30. April dabei: Vorstellung von Parasoft C/C++test CT für kontinuierliche Tests und Compliance-Exzellenz | Registrierung
Zum Abschnitt springen
Finden Sie API-Sicherheitslücken mit Parasoft Continuous Quality Version 2021.2
14. Oktober 2021
4 min lesen
Zum Abschnitt springen
Zum Abschnitt springen
Die neueste Version der Parasoft Continuous Quality-Lösung ist jetzt mit aktualisierten Versionen von Parasoft SOAtest, Virtualize, CTP und DTP verfügbar. Diese Version konzentriert sich auf drei Hauptbereiche.
- API-Sicherheitstests. Parasoft SOAtest bietet jetzt die Möglichkeit, dynamische Anwendungssicherheitstests (DAST) für APIs eng in Ihre funktionalen Testsuiten zu integrieren, und DAST lässt sich auch nahtlos in Parasoft CTP und Parasoft Virtualize integrieren.
- Verbesserte Berichterstattung über alle drei Anwendungen hinweg, einschließlich Updates zur Testausführung, API-Abdeckung und API-Sicherheitsberichte, die alle direkt in Parasoft DTP veröffentlicht werden, um die Test- und Sprintplanung zu optimieren.
- Benutzerfreundlichkeit Verbesserungen für das Hinzufügen von SOAtest- und Virtualize-Servern in CTP, Upgrades im Kontextmenü, Installations- und Integrationsverbesserungen und mehr.
Ein Fokus auf API-Sicherheit, Berichterstellung und Benutzerfreundlichkeit für den Kunden
Nach dem Erfolg des Releases 2021.1 mit dem Fokus auf schnelle Qualität, konzentriert sich Parasofts Release 2021.2 speziell auf Sie, den Kunden.
Wie kann Ihnen diese neueste Version dabei helfen, die Qualität schnell zu optimieren und zu maximieren?
Leitfaden zur API-Sicherheit
Durch Funktionsupdates und Verbesserungen der Benutzerfreundlichkeit können Sie zur richtigen Zeit auf die richtigen Informationen zugreifen und sicherstellen, dass Ihre Anwendungen getestet werden, um sie gegen Cyberangriffe zu schützen.
Verbesserungen der API-Sicherheit
Zusätzlich zur bestehenden Erweiterung von Parasoft SOAtest für BurpSuite gibt es eine neue Funktion, die SOAtest durch nahtlose Integration mit OWASP ZAP. Jetzt können Entwickler und Tester einfach Penetrationstests zu ihren funktionalen Testsuiten hinzufügen und eine Reihe von Pen-Testing-Cyberangriffssimulationen für die gesamte Suite oder spezifische Tests starten. Da diese Tests bereits für die funktionale Seite erstellt wurden, spart die Wiederverwendung derselben Tests erheblichen Zeit- und Nacharbeitsaufwand und vor allem können diese Tests ohne manuelle Eingriffe als Teil einer CI/CD-Pipeline ausgeführt werden.
Um bestimmte APIs auszuführen, müssen einige möglicherweise eingerichtet werden, z. B. das Vorbereiten der Datenbank oder das Aufrufen anderer APIs. Wenn mit Funktionstests begonnen wird, die bereits nachweislich korrekt funktionieren, ist die Einrichtung abgeschlossen.
Typische Penetrationstest-Tools sind in der Lage, Schwachstellen zu melden, reichen jedoch nicht aus, wenn es darum geht, Kontext zu dem Anwendungsfall und/oder den Anforderungen zu geben, mit denen die Schwachstelle verbunden ist. Die Verwendung von SOAtest zum Ausführen der Testfälle, die API-Schwachstellen werden im Rahmen eines Anwendungsfalls gemeldet. Wenn Szenarien mit Anforderungen verknüpft wurden, erhalten Entwickler und Tester zusätzlichen Geschäftskontext über die Auswirkungen der Sicherheitsfehler auf die Anwendung. Mit SOAtest plus DAST haben Sie jetzt die Möglichkeit, Pentest-Szenarien innerhalb der CI/CD-Pipeline auszuführen und funktionale Tests in Sicherheitsregressionstests umzuwandeln.
Darüber hinaus umfasst diese Verbesserung das HTTP-Verb-Fuzzing, das Ihre OpenAPI- oder RAML-formatierte Spezifikation analysiert und validiert, dann auf zugängliche HTTP-Methoden testet, die nicht in der Service-Definition definiert sind, die möglicherweise berücksichtigt wurden oder nicht, und im Wesentlichen Ihre OpenAPI auf "nicht da" testen “. Die Ergebnisse all dieser API-Sicherheitstests können in einem benutzerfreundlichen HTML-Berichtsformat angezeigt werden, das leicht verständlich ist, und alle Ergebnisse und Informationen fließen reibungslos in DTP ein, um Ihre aktuelle und bevorstehende Sprintstrategie zu planen.
Verbesserungen bei Abdeckung und Berichterstellung
An der Fähigkeit von Parasoft SOAtest, die Anwendungsabdeckung zu erfassen und Ergebnisse zu melden, wurden Verbesserungen der Benutzerfreundlichkeit vorgenommen. Die von SOAtest erfasste Anwendungsabdeckung kann jetzt direkt an DTP gemeldet werden, und es können Baseline-Coverage-Berichte für die Testauswirkungsanalyse erstellt werden, ohne dass zusätzliche Skripte erforderlich sind. Für weitere Transparenz kann die Anwendungsabdeckung jetzt durch Tests erfasst werden, die auf Server-Only-Installationen von SOAtest ausgeführt werden.
Darüber hinaus haben von SOAtest Desktop erstellte HTML-Berichte ein moderneres Erscheinungsbild. CTP-Testausführungsaufträge wurden von den Testszenarien selbst getrennt, und wir haben die Möglichkeit hinzugefügt, benutzerdefinierte Berichte für Testausführungsaufträge zu erstellen. Sie können Ihre CTP-Aufträge auch so konfigurieren, dass Ergebnisse an DTP gesendet werden. Inzwischen kann auf Testszenarien direkt über URL und Feature-Syntax-Coloring von JSON- und XML-Ereignisnachrichten zugegriffen werden, um die Lesbarkeit zu verbessern.
Verbesserungen der Benutzerfreundlichkeit
Wir haben viele spannende Verbesserungen der Benutzerfreundlichkeit an den in dieser Version enthaltenen Produkten vorgenommen. Alle Details finden Sie in unseren Versionshinweisen 2021.2 für SOAtest, Virtualize und CTP und DTP. Hier sind ein paar Teaser, um Ihren Appetit anzuregen. Du kannst:
- Fügen Sie SOAtest- und Virtualize-Server innerhalb von CTP hinzu und konfigurieren Sie sie.
- Erstellen Sie parametrisierte Responder aus Service-Definitionen, ohne den aufgezeichneten Datenverkehr zu verwenden.
- Erhalten Sie eine bessere Transparenz für die Rückverfolgbarkeit mit Azure DevOps-Integration und Testgranularität mit externen Anforderungsmanagementsystemen in DTP.
- Greifen Sie auf neue Rechtsklick-Aktionsmenüs in Testszenario- und virtuellen Asset-Strukturen in CTP zu.
- Erhalten Sie nach Abschluss Ihrer Tests E-Mail-Benachrichtigungen über die Ergebnisse.
- Erhalten Sie Unterstützung für GitLab und Konformität mit ADA 508/WCAG 2.1 AA bis CTP.
Und noch viel mehr!
Parasofts Release 2021.2 der Continuous Quality-Lösung macht ebenfalls einen großen Schritt nach vorne, indem jedes unserer Unternehmensprodukte als Docker-Images auf DockerHub verfügbar gemacht wird. Achten Sie in den kommenden Wochen auf diese, die unseren Kunden die Installation und Einrichtung erheblich erleichtern werden.
Leitfaden zur API-Sicherheit
Zusammenfassung
Die Version 2021.2 von Parasoft SOAtest, Virtualize, CTP und DTP markiert eine neue Ebene der Transparenz der API-Sicherheit und fügt unserer bestehenden BurpSuite-Kompatibilität eine nahtlose Integration mit OWASP ZAP hinzu.
Wir haben uns auch auf Verbesserungen bei Benutzerfreundlichkeit, Abdeckung und Berichterstellung sowie auf eine wesentliche Vereinfachung der Installation/Einrichtung über DockerHub konzentriert, um die Benutzererfahrung zu verbessern und die Produktivität zu steigern. Es gibt weitere spannende Verbesserungen, die zu den Produkten hinzugefügt wurden, über die Sie in den Versionshinweisen für nachlesen können SOAtest, Virtualisierung, CTP und DTP.
