Die Brücke zwischen Entwicklung und AppSec bauen

Wird Ihr Entwicklungsteam durch „Red Team“-AppSec-Überprüfungen behindert, die die Lieferung oder Bereitstellung aufgrund scheinbar endloser Ablehnungen und Nacharbeiten aufgrund fehlgeschlagener Sicherheitsüberprüfungen verzögern?

Parasoft hat eine Lösung für das Paradigma USA vs. Them, das heute in vielen Unternehmen vorherrscht. Unser neuer dynamische Anwendungssicherheitstests (DAST) Angebot integriert sich nahtlos Parasoft SOAtest mit OWASP ZAP um Ihre aktuellen Funktionstests mit Penetrationstests inklusive Verb-Fuzzing zu versehen.

Sicher, manche Entwicklungsteams vertreten in dieser Angelegenheit die Ansicht, Sicherheit sei nicht ihre Aufgabe. Aber Sicherheit sollte jedermanns Anliegen sein – in jeder Phase des SDLC. Wenn Code aus der Entwicklung die Anwendungssicherheitstests nicht besteht und zur Korrektur an die Entwicklung zurückgeschickt wird, wird dies schnell zur Aufgabe der Entwicklung.

Können wir nicht alle einfach miteinander auskommen?

Um in dieser Situation Harmonie zu schaffen, hat Parasoft es noch einfacher gemacht, die Tests für Top-Sicherheitsrisiken nach links zu verschieben. Teams können API-Sicherheitstests mit nur wenigen einfachen Klicks zu bestehenden Testsuiten hinzufügen. Wenn das Entwicklungsteam die API-Funktionstests durchführt, kann es dieselben Tests auch für API-Sicherheitstests wiederverwenden. Ein farbcodierter Bericht fasst die Ergebnisse zusammen, damit Entwickler eventuelle Fehler beheben können.

Shift Left API-Sicherheitstests

In seiner bekannten Arbeit von 1996 quantifizierte Capers Jones die Mehrkosten für die Fehlerbehebung in späteren Phasen des Softwareentwicklungszyklus (SDLC). Diese Forschung ist auch heute noch relevant; dank agiler Methoden arbeiten Teams heute jedoch deutlich schneller. Daher stammt der Begriff „Shift Left“: Softwareentwicklungsteams versuchen, Fehler frühzeitig im Zyklus zu vermeiden und zu beheben, wenn die Kosten für deren Korrektur wesentlich geringer sind.

Ermutigen Sie Ihr Unternehmen, den Shift-Left-Ansatz für API-Sicherheitstests zu übernehmen, um Entwicklungsteams die Möglichkeit zu geben, Sicherheitsrisiken während der Entwicklungsphase zu erkennen und zu beheben. Wenn AppSec- oder DevSecOps-Teams Sicherheits- und Penetrationstests durchführen, können Pentester die von Parasoft nutzen API-Sicherheitstest-Tool zum Testen der API-Funktionalität. Hier ist wie:

• Nutzen Sie die aktuelle API-Testsuite für Funktions- und Sicherheitstests mit der neuen DAST-Integration.
• Wenn noch keine API-Testsuite existiert, verwenden Sie den intelligenten API-Testgenerator von Parasoft SOAtest, um schnell und einfach neue Tests zu erstellen.
• Teams, die bereits OWASP ZAP verwenden, können auch Richtlinien aus bestehenden Bereitstellungen wiederverwenden, sogar von benutzerdefinierten.

Unabhängig davon, wie Teams die Parasoft API-Sicherheitslösung einsetzen, können sie API-Funktionstests problemlos für API-Sicherheitstests nutzen und die Gesamtabdeckung der Anwendungstests erhöhen.

Für jede Situation ist die DAST-Lösung von Parasoft ideal. Sehen Sie sich das Demo-Video zu API-Sicherheitstests an, um zu sehen, wie einfach es ist, API-Sicherheitspenetrationstests zu bestehenden Funktionstests hinzuzufügen.