Holen Sie sich die neuesten wichtigen Update-Informationen für die Log4j-Sicherheitslücke. Sehen Sie sich an, wie Sie das Problem mithilfe der Parasoft-Anleitung beheben können. Erfahren Sie mehr >>

X
BLOG

Finden Sie API-Sicherheitslücken mit Parasoft Continuous Quality Version 2021.2

Finden Sie API-Sicherheitslücken mit Parasoft Continuous Quality Version 2021.2 Lesezeit: 4 Minuten

Die neueste Version der Parasoft Continuous Quality-Lösung ist jetzt mit aktualisierten Versionen von Parasoft SOAtest, Virtualize, CTP und DTP verfügbar. Diese Version konzentriert sich auf drei Hauptbereiche.

  1. API-Sicherheitstests. Parasoft SOAtest bietet jetzt die Möglichkeit, dynamische Anwendungssicherheitstests (DAST) für APIs eng in Ihre funktionalen Testsuiten zu integrieren, und DAST lässt sich auch nahtlos in Parasoft CTP und Parasoft Virtualize integrieren.
  2. Verbesserte Berichterstattung über alle drei Anwendungen hinweg, einschließlich Updates zur Testausführung, API-Abdeckung und API-Sicherheitsberichte, die alle direkt in Parasoft DTP veröffentlicht werden, um die Test- und Sprintplanung zu optimieren.
  3. Benutzerfreundlichkeit Verbesserungen für das Hinzufügen von SOAtest- und Virtualize-Servern in CTP, Upgrades im Kontextmenü, Installations- und Integrationsverbesserungen und mehr.

Ein Fokus auf API-Sicherheit, Berichterstellung und Benutzerfreundlichkeit für den Kunden

Nach dem Erfolg des Releases 2021.1 mit dem Fokus auf schnelle Qualität, konzentriert sich Parasofts Release 2021.2 speziell auf Sie, den Kunden.

Wie kann Ihnen diese neueste Version dabei helfen, die Qualität schnell zu optimieren und zu maximieren?

Aufleveln! Laden Sie Ihre API-Testautomatisierung auf.

Durch Funktionsupdates und Verbesserungen der Benutzerfreundlichkeit können Sie zur richtigen Zeit auf die richtigen Informationen zugreifen und sicherstellen, dass Ihre Anwendungen getestet werden, um sie gegen Cyberangriffe zu schützen.

Verbesserungen der API-Sicherheit

Zusätzlich zur bestehenden Erweiterung von Parasoft SOAtest für BurpSuite gibt es eine neue Funktion, die SOAtest durch nahtlose Integration mit OWASP ZAP. Jetzt können Entwickler und Tester einfach Penetrationstests zu ihren funktionalen Testsuiten hinzufügen und eine Reihe von Pen-Testing-Cyberangriffssimulationen für die gesamte Suite oder spezifische Tests starten. Da diese Tests bereits für die funktionale Seite erstellt wurden, spart die Wiederverwendung derselben Tests erheblichen Zeit- und Nacharbeitsaufwand und vor allem können diese Tests ohne manuelle Eingriffe als Teil einer CI/CD-Pipeline ausgeführt werden.

Um bestimmte APIs auszuführen, müssen einige möglicherweise eingerichtet werden, z. B. das Vorbereiten der Datenbank oder das Aufrufen anderer APIs. Wenn mit Funktionstests begonnen wird, die bereits nachweislich korrekt funktionieren, ist die Einrichtung abgeschlossen.

Typische Penetrationstest-Tools sind in der Lage, Schwachstellen zu melden, liefern jedoch keinen Kontext zum Anwendungsfall und/oder der Anforderung, mit der die Schwachstelle verbunden ist. Mit SOAtest zur Ausführung der Testfälle werden die Sicherheitslücken im Kontext eines Use Cases gemeldet. Wenn Szenarien mit Anforderungen verknüpft wurden, erhalten Entwickler und Tester zusätzlichen Geschäftskontext über die Auswirkungen der Sicherheitsfehler auf die Anwendung. Mit SOAtest plus DAST haben Sie jetzt die Möglichkeit, Pen-Testszenarien innerhalb der CI/CD-Pipeline auszuführen und Funktionstests in Sicherheitsregressionstests umzuwandeln.

Darüber hinaus umfasst diese Verbesserung das HTTP-Verb-Fuzzing, das Ihre OpenAPI- oder RAML-formatierte Spezifikation analysiert und validiert, dann auf zugängliche HTTP-Methoden testet, die nicht in der Service-Definition definiert sind, die möglicherweise berücksichtigt wurden oder nicht, und im Wesentlichen Ihre OpenAPI auf "nicht da" testen “. Die Ergebnisse all dieser API-Sicherheitstests können in einem benutzerfreundlichen HTML-Berichtsformat angezeigt werden, das leicht verständlich ist, und alle Ergebnisse und Informationen fließen reibungslos in DTP ein, um Ihre aktuelle und bevorstehende Sprintstrategie zu planen.

Verbesserungen bei Abdeckung und Berichterstellung

An der Fähigkeit von Parasoft SOAtest, die Anwendungsabdeckung zu erfassen und Ergebnisse zu melden, wurden Verbesserungen der Benutzerfreundlichkeit vorgenommen. Die von SOAtest erfasste Anwendungsabdeckung kann jetzt direkt an DTP gemeldet werden, und es können Baseline-Coverage-Berichte für die Testauswirkungsanalyse erstellt werden, ohne dass zusätzliche Skripte erforderlich sind. Für weitere Transparenz kann die Anwendungsabdeckung jetzt durch Tests erfasst werden, die auf Server-Only-Installationen von SOAtest ausgeführt werden.

Darüber hinaus haben von SOAtest Desktop erstellte HTML-Berichte ein moderneres Erscheinungsbild. CTP-Testausführungsaufträge wurden von den Testszenarien selbst getrennt, und wir haben die Möglichkeit hinzugefügt, benutzerdefinierte Berichte für Testausführungsaufträge zu erstellen. Sie können Ihre CTP-Aufträge auch so konfigurieren, dass Ergebnisse an DTP gesendet werden. Inzwischen kann auf Testszenarien direkt über URL und Feature-Syntax-Coloring von JSON- und XML-Ereignisnachrichten zugegriffen werden, um die Lesbarkeit zu verbessern.

Verbesserungen der Benutzerfreundlichkeit

Wir haben viele spannende Verbesserungen der Benutzerfreundlichkeit an den in dieser Version enthaltenen Produkten vorgenommen. Alle Details finden Sie in unseren Versionshinweisen 2021.2 für SOAtest, Virtualize und CTP und DTP. Hier sind ein paar Teaser, um Ihren Appetit anzuregen. Du kannst:

  • Fügen Sie SOAtest- und Virtualize-Server innerhalb von CTP hinzu und konfigurieren Sie sie.
  • Erstellen Sie parametrisierte Responder aus Service-Definitionen, ohne den aufgezeichneten Datenverkehr zu verwenden.
  • Erhalten Sie eine bessere Transparenz für die Rückverfolgbarkeit mit Azure DevOps-Integration und Testgranularität mit externen Anforderungsmanagementsystemen in DTP.
  • Greifen Sie auf neue Rechtsklick-Aktionsmenüs in Testszenario- und virtuellen Asset-Strukturen in CTP zu.
  • Erhalten Sie nach Abschluss Ihrer Tests E-Mail-Benachrichtigungen über die Ergebnisse.
  • Bezahlung Unterstützung für GitLab und Konformität mit ADA 508/WCAG 2.1 AA bis CTP.

Und noch viel mehr!

Parasofts Release 2021.2 der Continuous Quality-Lösung macht ebenfalls einen großen Schritt nach vorne, indem jedes unserer Unternehmensprodukte als Docker-Images auf DockerHub verfügbar gemacht wird. Achten Sie in den kommenden Wochen auf diese, die unseren Kunden die Installation und Einrichtung erheblich erleichtern werden.

Aufleveln! Laden Sie Ihre API-Testautomatisierung auf.

Zusammenfassung

Die Version 2021.2 von Parasoft SOAtest, Virtualize, CTP und DTP markiert eine neue Ebene der Transparenz der API-Sicherheit und fügt unserer bestehenden BurpSuite-Kompatibilität eine nahtlose Integration mit OWASP ZAP hinzu.

Wir haben uns auch auf Verbesserungen bei Benutzerfreundlichkeit, Abdeckung und Berichterstellung sowie auf eine wesentliche Vereinfachung der Installation/Einrichtung über DockerHub konzentriert, um die Benutzererfahrung zu verbessern und die Produktivität zu steigern. Es gibt weitere spannende Verbesserungen, die zu den Produkten hinzugefügt wurden, über die Sie in den Versionshinweisen für nachlesen können SOAtest, Virtualisierung, CTPund DTP.

Sehen Sie Parasoft SOAtest in Aktion! Eine Demo anfordern.

Geschrieben von

Jeff Peeples

Jeff Peeples ist Senior Product Manager bei Parasoft und leitet die funktionale Plattformausrichtung für SOAtest, Virtualize und CTP. Jeff verfügt über umfangreiche Erfahrung in der Definition von Lösungen und der Entwicklung von Roadmaps für Unternehmensbranchen wie Energie, Finanztechnologien und Reise-/Gastgewerbe.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.