Die Brücke zwischen Entwicklung und AppSec bauen

Wird Ihr Entwicklungsteam durch „Red Team“-AppSec-Überprüfungen behindert, die die Lieferung oder Bereitstellung aufgrund scheinbar endloser Ablehnungen und Nacharbeiten aufgrund fehlgeschlagener Sicherheitsüberprüfungen verzögern?

Parasoft hat eine Lösung für das Paradigma USA vs. Them, das heute in vielen Unternehmen vorherrscht. Unser neuer dynamische Anwendungssicherheitstests (DAST) Angebot integriert sich nahtlos Parasoft SOAtest mit OWASP ZAP um Ihre aktuellen Funktionstests mit Penetrationstests inklusive Verb-Fuzzing zu versehen.

Sicher, manche Entwicklungsteams vertreten in dieser Angelegenheit die Ansicht, Sicherheit sei nicht ihre Aufgabe. Aber Sicherheit sollte jedermanns Anliegen sein – in jeder Phase des SDLC. Wenn Code aus der Entwicklung die Anwendungssicherheitstests nicht besteht und zur Korrektur an die Entwicklung zurückgeschickt wird, wird dies schnell zur Aufgabe der Entwicklung.

Können wir nicht alle einfach miteinander auskommen?

Um in dieser Situation Harmonie zu schaffen, hat Parasoft es noch einfacher gemacht, die Tests für Top-Sicherheitsrisiken nach links zu verschieben. Teams können API-Sicherheitstests mit nur wenigen einfachen Klicks zu bestehenden Testsuiten hinzufügen. Wenn das Entwicklungsteam die API-Funktionstests durchführt, kann es dieselben Tests auch für API-Sicherheitstests wiederverwenden. Ein farbcodierter Bericht fasst die Ergebnisse zusammen, damit Entwickler eventuelle Fehler beheben können.

Shift Left API-Sicherheitstests

Im bekannten Werk von Capers Jones 1996 quantifizierte er den Kostenanstieg bei der Behebung von Fehlern in späteren Phasen des SDLC. Diese Forschung ist auch heute noch relevant, nur dass die Teams dank Agile heute schneller arbeiten. Daher kommt der Begriff „Shift Left“, wenn Softwareentwicklungsteams versuchen, Fehler früher im Zyklus zu verhindern und zu beheben, da die Behebung dann deutlich weniger kostet.

Ermutigen Sie Ihr Unternehmen, den Shift-Left-Ansatz für API-Sicherheitstests zu übernehmen, um Entwicklungsteams die Möglichkeit zu geben, Sicherheitsrisiken während der Entwicklungsphase zu erkennen und zu beheben. Wenn AppSec- oder DevSecOps-Teams Sicherheits- und Penetrationstests durchführen, können Pentester die von Parasoft nutzen API-Sicherheitstest-Tool zum Testen der API-Funktionalität. Hier ist wie:

• Nutzen Sie die aktuelle API-Testsuite für Funktions- und Sicherheitstests mit der neuen DAST-Integration.
• Wenn noch keine API-Testsuite existiert, verwenden Sie den intelligenten API-Testgenerator von Parasoft SOAtest, um schnell und einfach neue Tests zu erstellen.
• Teams, die bereits OWASP ZAP verwenden, können auch Richtlinien aus bestehenden Bereitstellungen wiederverwenden, sogar von benutzerdefinierten.

Unabhängig davon, wie Teams die Parasoft API-Sicherheitslösung einsetzen, können sie API-Funktionstests problemlos für API-Sicherheitstests nutzen und die Gesamtabdeckung der Anwendungstests erhöhen.

Für jede Situation ist die DAST-Lösung von Parasoft ideal. Sehen Sie sich das Demo-Video zu API-Sicherheitstests an, um zu sehen, wie einfach es ist, API-Sicherheitspenetrationstests zu bestehenden Funktionstests hinzuzufügen.