丹佛,22 年 2022 月 XNUMX 日 /美通社/ — StackHawk,一家将应用程序安全测试纳入软件交付的公司,今天宣布发布 Deeper API 安全测试覆盖率。这扩展了 StackHawk 的解决方案,帮助开发人员扫描整个 API 层以发现潜在的漏洞。当今的应用程序架构需要不同的安全测试方法,而遗留的安全测试工具会导致应用程序的某些部分未经测试,或者需要繁琐的手动测试,并且对于大多数现代的发布计划来说速度太慢。随着这个版本的发布。 StackHawk 使开发人员能够更深入、更快地测试 API,因此组织可以确信他们发布的每个版本都是安全的。
API 层给软件公司带来了最高级别的安全风险。然而,API 发现对于许多安全团队来说可能是一个挑战。 StackHawk 的 Deeper API 安全测试覆盖率版本允许团队利用现有的自动化测试工具(例如 Postman 或 Cypress)来指导路径和端点的发现,提供在扫描期间使用的自定义测试数据,并涵盖安全测试的专有用例。
StackHawk 联合创始人兼首席安全官 Scott Gerlach 表示:“现代 API 和应用程序安全性需要能够集成到现有工程工作流程中并为当今的应用程序架构提供全面测试覆盖的工具。” “随着我们最近发布的更深入的 API 安全测试功能,StackHawk 继续在真实 API 安全测试的深度和准确性方面引领市场,同时始终坚持我们开发人员优先的安全方法。”
工程团队在 CI/CD 中拥有复杂的自动化测试套件,以确保在将软件更改推向生产时保持质量,安全测试应该也不例外。 通过集成到现有的测试工作流中,StackHawk 以熟悉的方式为开发人员提供安全测试,将安全性转移到左侧。
StackHawk 的全面扫描功能已扩展到解决几个关键问题,包括:
- REST API 的自定义测试数据:为路径、查询或请求主体使用实际所需变量的能力,是 DAST 工具历来都在努力解决的问题,因为使用格式不正确的数据可能会阻止扫描到达应用程序中的关键逻辑。
- 自定义扫描发现:能够使用来自 Postman 或 Cypress 等开发工具的测试脚本和数据来指导扫描器,从而无需 API 文档即可进行更全面、更彻底的测试。
- 自定义测试脚本:测试特定用例(如业务逻辑、隐私法和敏感数据)的能力需要自定义脚本。 此功能还解决了租户检查问题、OWASP Top 10 中的最高漏洞以及功能级别授权损坏的测试,这些都是 ZAP 库未涵盖的测试用例。
那些有兴趣了解有关 StackHawk 更深层次 API 安全测试的更多信息的人可以通过以下方式查看实际功能: 在这里注册 10 月 28 日星期三太平洋时间上午 XNUMX 点举行的网络研讨会。
关于 StackHawk
StackHawk 正在使应用程序安全测试成为软件交付的一部分。 StackHawk 平台使工程师能够在软件开发的任何阶段轻松查找和修复应用程序安全漏洞。 StackHawk 拥有一支在安全和 DevOps 方面拥有丰富经验的强大创始团队,以及业内一些最优秀的风险投资者,将应用程序安全测试交到工程师手中。 了解更多信息并注册免费试用 www.stackhawk.com.
