最先端のアプリケーション・アーキテクチャはAPIを介して通信する分散型のアプリケーションとサービスに基づいて構築されています。Synopsys API Scanner™を使用すれば、開発チームは実装するAPIのセキュリティ上の不具合を簡単に特定できます。
API開発チームのニーズに合わせて最適化されたアプリケーション・セキュリティ・テスト
APIは、アプリケーションやサービス間の通信を可能にするオープンで柔軟なインターフェイスですが、この特性がセキュアなソフトウェアの構築を困難にし、従来のAppSecツールでテストする場合にはさらに難しくなる可能性もあります。
Synopsys API Scannerの詳細な分析とコンテキストを考慮したファジングにより、REST APIとGraphQL APIを事前に保護し、そのセキュリティと正確性、およびその動作が仕様に従っていることを確認できます。
コンテキストを考慮したRESTfulおよびGraphQL APIの解析
RESTful API
Synopsys API Scannerは、OpenAPI/SwaggerまたはHTTPアーカイブ(HAR)エクスポートを利用してAPI全体のマップを構築します。このマップには、エンドポイント、パラメータ、型シグネチャ、仕様、認証、その他APIおよびAPIとの通信方法の理解を深めるために必要な情報を含んでいます。
GraphQL API
GraphQLエンドポイントを指定すると、Synopsys API Scannerはイントロスペクション(GraphQLの機能)と特許出願中のグラフ還元アルゴリズムを用いて、GraphQL API全体のトラバース可能な表現と、監査に使用されるクエリの表現一式を構築します。Synopsys API Scannerは、GraphQL APIの脆弱性と正確性の問題を完全に監査できる唯一のツールです。
インテリジェントなAPIセキュリティ・テスト
Synopsys API ScannerはAPIを包括的にテストします。
脆弱性と正確性
指定されたすべてのエンドポイントを自動的にテストし、制約と検証解析によって生成された値を使用してパラメータをファジングし、実装が仕様から逸脱していないことを確認します。
ビジネス・ロジックの欠陥
サーバー側の入力検証をバイパスして、検証の境界をテストするためにインテリジェントに生成されたペイロードを使用してAPIの機能をテストします。
認可・認証のバイパス
OAuth2、JWT、Authorizationヘッダーなどの認証方法を組み合わせて、すべて定義が簡単なワークフローでテストします。
テストを開発スピードに合わせる
高速スキャン
Synopsys API Scannerは数分で実行が完了するため、DevOps/CIパイプラインの遅滞が生じません。
ワンクリックのリプレイ攻撃
現在使用中のツールにテストを統合して自動化
CI/CD統合
Synopsys API ScannerはJenkinsなどのCI/CDパイプライン・ツールと直接連携するため、DevOpsパイプラインにAPIセキュリティを組み込むことができます。
自動化API
Synopsys APIを使用して、APIスキャンの任意の要素を調整および自動化し、レポートを発行します。UIで実行できる機能はAPIでも実行できます。
課題トラッカーの統合
関連コンテンツ
