Traceable AI ogłosiło dzisiaj ogólną dostępność xAST, rozwiązania do testowania bezpieczeństwa API, jako części swojej Platformy Bezpieczeństwa API. Po przeprowadzeniu szeroko zakrojonych testów beta z udziałem niektórych większych klientów firmy, wowy zestaw funkcji jest dostępny do natychmiastowego użytku i opiera się na istniejących funkcjach Traceable w zakresie widoczności i analizy ryzyka.

Celem jest zmniejszenie wpływu potencjalnych luk w zabezpieczeniach API na wczesnym etapie procesu tworzenia oprogramowania, poprzez ułatwienie aktywnego testowania API, które przeszło przez proces rozwoju, ale zanim trafi do produkcji. Traceable stosuje podejście „in-app” do testowania API, co oznacza, że obserwuje zachowanie oprogramowania podczas jego rzeczywistego działania, w przeciwieństwie do modelu „contract”, w którym jedynie analizuje się, jakie zachowania powinno wykazywać API.

Zobacz również:

• Google zapłaci 700 mln dolarów
• Uwierzytelnianie bez haseł – 10 rozwiązań

Podejście „rozproszonego śledzenia” do obserwowalności API

Według głównego analityka Omdii, Rika Turnera, to podejście jest bardziej wymagające obliczeniowo, ale może zapewnić lepsze okno na bezpieczeństwo lub jego brak danego kawałka oprogramowania. „W szczególności, Traceable argumentuje, że jego 'rozproszone śledzenie' podejście do obserwowalności API jest kluczowym wyróżnikiem”, powiedział. „Nie tylko jest to forma śledzenia, która jest specjalnie dostosowana do architektur mikroserwisów, ale pozwala Traceable obserwować każde żądanie podróżujące przez system od jego początku do końca i może być wykorzystana do poprawy wydajności i zrozumienia, jak wygląda typowe zachowanie”.

Inną kluczową korzyścią, według Traceable, jest szybkość i integracja procesu testowania - skanowanie API przy użyciu xAST nie powinno zmieniać „kadencji dev-release”, twierdzi firma, co powinno pomóc w utrzymaniu procesu testowania z dala od bycia blokadą drogową.

System xAST dostarcza dane wyjściowe w postaci podsumowania skanowania, porównując podatności z listą OWASP top 10, szukając ekspozycji danych, błędnych konfiguracji, problemów z autoryzacją i znanych problemów, takich jak Log4shell. W ocenie Turnera, jest to dość przełomowa nowość. „Początkowo weszli na rynek tylko z podejściem in-app do obserwowalności, które nadal twierdzą, że jest lepsze, ale od tego czasu zasypali z obserwacją out-of-band na żądanie głównych klientów”, powiedział Turner. „Mimo to, jeśli uda im się skłonić większą liczbę klientów w kierunku podejścia in-app, myślę, że będą cieszyć się znacznym wzięciem i zmuszą innych dostawców, aby przynajmniej zwrócili uwagę na to, co robią i starali się naśladować”.

Według Traceable, funkcje xAST są obecnie dostępne dla każdego klienta Traceable, który obecnie korzysta z katalogu API firmy, bez dodatkowych opłat, chociaż firma rozważa wprowadzenie go na rynek jako samodzielnego produktu, jeśli popyt będzie uważany za wystarczający.

Źródło: CSO