现代应用程序架构建立在通过 API 进行通信的分布式应用和服务之上。Synopsys API Scanner™ 使开发人员能够轻松识别所实现 API 中的安全缺陷。
AppSec 测试针对 API 开发人员的需求进行了优化
API 提供开放、灵活的界面,使应用程序和服务能够相互交流。但是,这些特性也可能使构建安全软件变得困难,而传统的 AppSec 工具更难对其进行测试。
Synopsys API 扫描器的深入分析和环境感知型模糊测试功能有助于开发团队主动保护其 REST 和 GraphQL API,并确保其安全、正确且符合规格。
RESTful 和 GraphQL API 的环境感知分析
RESTful API
Synopsys API 扫描器使用 OpenAPI/Swagger 或 HTTP Archive (HAR) 导出,可构建整个 API 的映射,包括端点、参数、类型签名和规格,以及身份验证和其他必要信息,以深入了解 API 以及与其交互的方式。
GraphQL API
指向 GraphQL 端点时,Synopsys API 扫描器使用自检(GraphQL 功能)和正在申请专利的图归约算法来构建整个 GraphQL API 的可遍历表示和用于审核的完整代表性查询集。Synopsys API 扫描器是唯一能够全面审核 GraphQL API 漏洞和正确性的工具。
智能 API 安全测试
Synopsys API 扫描器全面测试 API 的以下问题:
漏洞和正确性
自动测试每个已识别的端点,使用通过约束和验证分析生成的值对参数进行模糊测试,以确保实现不偏离规格。
业务逻辑缺陷
绕过服务器端输入验证,通过智能生成的载荷测试 API 的功能,以测试验证的边界。
授权和身份验证旁路
组合和测试身份验证方法(包括 OAuth2、JWT 和授权标头),所有这些都在一个轻松定义的工作流程中完成。
以开发速度进行测试
快速扫描
Synopsys API 扫描器运行只需几分钟,因此您的 DevOps/CI 管道不会降速。
一键重放攻击
自动化测试功能与您现在使用的工具集成
CI/CD 集成
Synopsys API 扫描器直接与 Jenkins 和其他 CI/CD 管道工具集成,因此您可以在 DevOps 管道中构建 API 安全性。
自动化 API
使用 Synopsys API 定制并自动执行 API 扫描和问题报告的任何方面。如果可以在 UI 中执行此操作,就同样可以使用 API 执行。
