Parasoft C/C++test 2022.2 unterstützt MISRA C:2012 Amendment 3 und eine Entwurfsversion von MISRA C++ 202x. Erfahren Sie mehr >>

Warum API-Sicherheit die neue Frontline in der Anwendungssicherheit ist

Von Arthur Hicken

1. April 2021

3  min lesen

Die Anwendungssicherheit kann nicht abgeschlossen werden, ohne die API-Sicherheit in Ihren Anwendungen zu testen. Hier ist ein Q&A mit einem Sicherheitsexperten zum Stellenwert von OWASP-API-Sicherheit und SAST beim Erreichen von Anwendungssicherheit.

Wie gehen Sie mit den Herausforderungen der API-Sicherheit um?

Kürzlich sind Sicherheitsverletzungen aufgetreten, bei denen APIs zum Stehlen von Kundendaten verwendet werden. APIs werden häufig in Unternehmensanwendungen verwendet. Aus diesem Grund müssen Sie sich während des Software-Validierungsprozesses stärker auf die API-Sicherheit konzentrieren. Dies ist ein Bereich, der sich in Bezug auf Bewusstsein, Implementierung und Eigenverantwortung noch im Entstehen befindet.

Darüber hinaus kombiniert die API-Sicherheit alle üblichen Herausforderungen von API-Testsoftware mit den Herausforderungen traditioneller Application Security Tests (AST).

Kürzlich hatte ich die Gelegenheit, mit Sandy Carielli, Principal Analyst bei Forrester Research, über ihre Gedanken zur Anwendungssicherheit zu sprechen. statische Anwendungssicherheitstests (SAST) und die OWASP-API Sicherheit Top 10.

Ich freue mich, Ihnen eine Vorschau auf Sandys Expertenwissen zu API-Sicherheitstests zu geben. Sandy wird der vorgestellte Gast in unserem kommenden Webinar am sein 22. April 2021, 9 Uhr PT.

Webinar: Schützen von Anwendungen mit OWASP API Security Top 10 und SAST

Fragen und Antworten zu API-Sicherheitstests mit dem vorgestellten Gast Sandy Carielli, Principal Analyst bei Forrester Research

Q: Die Anwendungssicherheit gewinnt zunehmend an Bedeutung. Wie wichtig ist die API-Sicherheit für die allgemeinen Sicherheitsanstrengungen?

A: Die API-Sicherheit ist für die allgemeinen Sicherheitsanstrengungen von entscheidender Bedeutung. APIs sind zu einer Kernkomponente moderner Anwendungen geworden, und viele Entwicklungsteams erstellen ihre Anwendungen so, dass sie „API first“ sind. Das heißt, wenn die API nicht gesichert ist, ist die Anwendung nicht gesichert. Wir haben zahlreiche Fälle von Sicherheitsverletzungen aufgrund schlecht implementierter oder ungeschützter APIs gesehen. API-Verstöße haben Kundenkäufe, Benutzerkontoinformationen und sogar den COVID-19-Status von Haushalten auf der anderen Seite der Welt aufgedeckt.

Q: OWASP war mit seinem kostenlosen Training und seiner Top-10-Liste von zentraler Bedeutung für die Anwendungssicherheit. Werden die OWASP API Security Top 10 die gleiche Auswirkung auf die API-Sicherheit haben?

A: Dies scheint bereits zu geschehen. Benutzer betrachten die OWASP API Security Top 10 als Ausgangspunkt, um zu verstehen, was sie berücksichtigen müssen. Ich kann Ihnen nicht sagen, wie viele Anbieter, mit denen ich gesprochen habe, die Top 10 der OWASP-API-Sicherheit als Teil der Unterstützung der API-Sicherheit von Kunden einbringen. Probleme wie fehlerhafte Authentifizierung, fehlerhafte Autorisierung und übermäßige Datenexposition sind weit verbreitet. Die OWASP Top 10 lösen jedoch nicht alle Ihre Sicherheitsprobleme. Sie müssen die API-Sicherheit ganzheitlicher betrachten als nur die OWASP API Security Top 10. Für viele Teams beginnt die API-Sicherheit damit, zu wissen, welche APIs sich in Ihrer Umgebung befinden.

Q: Bei Entwicklung und Test mangelt es in der Regel an Sicherheitskenntnissen. Wie können Sicherheitsteams ihr Wissen so effektiv teilen, dass andere Personen beim AST / AppSec-Prozess helfen können?

A: Entwickler-Sicherheitschampions sind eine großartige Möglichkeit für Sicherheitsteams, ihr Wissen auf die Entwicklungsorganisation zu übertragen und ihre Glaubwürdigkeit bei Entwicklern zu stärken. Entwickler-Sicherheitschampions sind Mitglieder der Entwicklungsteams, die in grundlegenden Prinzipien der Anwendungssicherheit geschult sind. Sie sind in erster Linie Entwickler, bringen aber auch Sicherheitswissen und Interessenvertretung in ihr lokales Team ein. Champions beantworten grundlegende Sicherheitsfragen der Mitglieder des Entwicklerteams und haben Beziehungen zum Sicherheitsteam, um bei komplexeren Problemen Kontakt aufzunehmen.

Q: Unternehmen verfügen bereits über zahlreiche AST-Tools. Erfüllen sie API-Sicherheitsanforderungen oder benötigen Ingenieure etwas mehr?

A: Viele AST-Tools testen APIs nicht, obwohl einige Anbieter beginnen, ihre Funktionen zu erweitern oder zusätzliche Tools anzubieten, die sich auf APIs konzentrieren. Arbeiten Sie mit Ihrem AST-Anbieter zusammen, um zu verstehen, inwieweit er das Testen von APIs unterstützt, und seien Sie bereit, zusätzliche Tools oder Services einzubringen, um das zu ergänzen, was er nicht bietet. Erwägen Sie, einige API-fokussierte Penetrationstestservices in den Mix aufzunehmen, bis Sie über eine vollständige Suite von Testtools verfügen, mit denen APIs analysiert werden.

Q: Wie funktioniert die statische Analyse (SAST) in eine API-Sicherheitsteststrategie passen?

A: Wenn statische Analysetools dabei helfen können, Fehler in Ihren API-Definitionen zu identifizieren, sind sie ein wertvoller Bestandteil des API-Testprozesses vor der Veröffentlichung. Wie bei der allgemeinen Anwendungssicherheit wird kein einziges Tool alle Ihre Probleme lösen, aber die statische Analyse ist effektiv, um Probleme frühzeitig in der Entwicklung zu finden, idealerweise im Kontext von Entwicklern, und erleichtert die Behebung. Ein API-fähiges SAST-Tool hilft Ihnen, API-Sicherheitslücken früh im Lebenszyklus zu finden und zu beheben.

Webinar: Schützen von Anwendungen mit OWASP API Security Top 10 und SAST

Von Arthur Hicken

Arthur ist seit über 25 Jahren bei Parasoft im Bereich Software-Sicherheit und Testautomatisierung tätig. Er hilft bei der Erforschung neuer Methoden und Techniken (einschließlich 5 Patente) und hilft Kunden dabei, ihre Software-Praktiken zu verbessern.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.