Die Brücke zwischen Entwicklung und AppSec bauen

Wird Ihr Entwicklungsteam durch „Red Team“ AppSec-Reviews behindert, die die Lieferung oder Bereitstellung aufgrund scheinbar endloser Ablehnungen und Nacharbeiten aufgrund fehlgeschlagener Sicherheitsaudits verzögern?

Parasoft hat eine Lösung für das Paradigma USA vs. Them, das heute in vielen Unternehmen vorherrscht. Unser neuer dynamische Anwendungssicherheitstests (DAST) Angebot integriert sich nahtlos Parasoft SOAtest mit OWASP ZAP um Ihre aktuellen Funktionstests mit Penetrationstests inklusive Verb-Fuzzing zu versehen.

Sicher, einige Entwicklungsteams können in dieser Angelegenheit die Haltung „Sicherheit ist nicht mein Job“ einnehmen. Aber Sicherheit sollte jedermanns Anliegen sein – in jeder Phase des SDLC. Wenn Code aus der Entwicklung die Anwendungssicherheitstests nicht bestehen kann und zur Korrektur an die Entwicklung zurückgesendet wird, wird er schnell zur Aufgabe der Entwicklung.

Können wir nicht alle einfach miteinander auskommen?

Um in dieser Situation Harmonie zu schaffen, hat Parasoft es noch einfacher gemacht, die Tests für Top-Sicherheitsrisiken nach links zu verschieben. Teams können API-Sicherheitstests mit nur wenigen einfachen Klicks zu bestehenden Testsuiten hinzufügen. Wenn das Entwicklungsteam die API-Funktionstests durchführt, kann es dieselben Tests auch für API-Sicherheitstests wiederverwenden. Ein farbcodierter Bericht fasst die Ergebnisse zusammen, damit Entwickler eventuelle Fehler beheben können.

Shift Left API-Sicherheitstests

Im bekannten Werk von Capers Jones 1996 quantifizierte er den Kostenanstieg für die Reparatur von Defekten in späteren Stadien des SDLC. Diese Forschung ist auch heute noch relevant, nur Teams machen sie dank Agile jetzt schneller. Daher kommt der Begriff „nach links verschieben“, wenn Softwareentwicklungsteams versuchen, Fehler zu einem früheren Zeitpunkt im Zyklus zu verhindern und zu reparieren, wo ihre Behebung viel weniger kostet.

Ermutigen Sie Ihr Unternehmen, den Shift-Left-Ansatz für API-Sicherheitstests zu übernehmen, um Entwicklungsteams die Möglichkeit zu geben, Sicherheitsrisiken während der Entwicklungsphase zu erkennen und zu beheben. Wenn AppSec- oder DevSecOps-Teams Sicherheits- und Penetrationstests durchführen, können Pentester die von Parasoft nutzen API-Sicherheitstest-Tool zum Testen der API-Funktionalität. Hier ist wie:

• Nutzen Sie die aktuelle API-Testsuite für Funktions- und Sicherheitstests mit der neuen DAST-Integration.
• Wenn noch keine API-Testsuite existiert, verwenden Sie den intelligenten API-Testgenerator von Parasoft SOAtest, um schnell und einfach neue Tests zu erstellen.
• Teams, die bereits OWASP ZAP verwenden, können auch Richtlinien aus bestehenden Bereitstellungen wiederverwenden, sogar von benutzerdefinierten.

Unabhängig davon, wie Teams die Parasoft API-Sicherheitslösung einsetzen, können sie API-Funktionstests problemlos für API-Sicherheitstests nutzen und die Gesamtabdeckung der Anwendungstests erhöhen.

Für jede Situation ist die DAST-Lösung von Parasoft ideal. Sehen Sie sich das Demo-Video zu API-Sicherheitstests an, um zu sehen, wie einfach es ist, API-Sicherheitspenetrationstests zu bestehenden Funktionstests hinzuzufügen.