在 API 预生产中捕获编码错误,在它们启动并上线之前,对于防止可利用的漏洞至关重要。这就是为什么“左移”成为 API 开发中的一个重要焦点。DevOps 负责将安全测试纳入软件开发生命周期 (SDLC),从而降低修复编码错误和漏洞的时间成本和费用。
对于开发人员来说,修复代码或了解漏洞利用的概率是非常耗费时间和精力的,对于安全测试团队来说代码安全很有必要,因此自动化安全测试工具可以很好的解决这类问题。
自动化 API 安全测试主要使用两种应用程序安全方法中的工具:静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)。
SAST用于通过分析源代码来检测漏洞,正因为如此,SAST往往在开发过程的早期使用,可以直接集成到API开发环境中,如 IDE、错误跟踪系统和持续集成 (CI)/持续开发 (CD) 工具。当标准规范能够检测 API 中的常见实现问题(如错误公开的 API、参数、错误代码和消息)时,SAST 的效果很好。
相比之下,DAST是一种漏洞扫描工具,用于探测生产或非生产环境中正在运行的应用程序,但无法访问源代码。API的DAST的基本需求之一是工具需要理解API,其中包括它所公开的语法和业务逻辑。DAST从用户/攻击者的角度发现问题,并倾向于在开发过程的后期阶段使用。
“左移”测试可以帮助发现和修复存在的安全漏洞和风险,提高API的安全性。通过对API进行测试,可以降低恶意攻击的风险,保护用户数据和系统的安全。此外,建立安全测试流程和频繁进行安全测试,可以帮助发现新的安全威胁,并及时做出相应的改进和修复措施,提高应对安全威胁的能力。
