最先端のアプリケーション・アーキテクチャはAPIを介して通信する分散型のアプリケーションとサービスに基づいて構築されています。Synopsys API Scanner™を使用すれば、開発チームは実装するAPIのセキュリティ上の不具合を簡単に特定できます。
APIは、アプリケーションやサービス間の通信を可能にするオープンで柔軟なインターフェイスですが、この特性がセキュアなソフトウェアの構築を困難にし、従来のAppSecツールでテストする場合にはさらに難しくなる可能性もあります。
Synopsys API Scannerの詳細な分析とコンテキストを考慮したファジングにより、REST APIとGraphQL APIを事前に保護し、そのセキュリティと正確性、およびその動作が仕様に従っていることを確認できます。
Synopsys API Scannerは、OpenAPI/SwaggerまたはHTTPアーカイブ(HAR)エクスポートを利用してAPI全体のマップを構築します。このマップには、エンドポイント、パラメータ、型シグネチャ、仕様、認証、その他APIおよびAPIとの通信方法の理解を深めるために必要な情報を含んでいます。
GraphQLエンドポイントを指定すると、Synopsys API Scannerはイントロスペクション(GraphQLの機能)と特許出願中のグラフ還元アルゴリズムを用いて、GraphQL API全体のトラバース可能な表現と、監査に使用されるクエリの表現一式を構築します。Synopsys API Scannerは、GraphQL APIの脆弱性と正確性の問題を完全に監査できる唯一のツールです。
Synopsys API ScannerはAPIを包括的にテストします。
指定されたすべてのエンドポイントを自動的にテストし、制約と検証解析によって生成された値を使用してパラメータをファジングし、実装が仕様から逸脱していないことを確認します。
サーバー側の入力検証をバイパスして、検証の境界をテストするためにインテリジェントに生成されたペイロードを使用してAPIの機能をテストします。
OAuth2、JWT、Authorizationヘッダーなどの認証方法を組み合わせて、すべて定義が簡単なワークフローでテストします。
Synopsys API Scannerは数分で実行が完了するため、DevOps/CIパイプラインの遅滞が生じません。
Synopsys API ScannerはJenkinsなどのCI/CDパイプライン・ツールと直接連携するため、DevOpsパイプラインにAPIセキュリティを組み込むことができます。
Synopsys APIを使用して、APIスキャンの任意の要素を調整および自動化し、レポートを発行します。UIで実行できる機能はAPIでも実行できます。