Noname Security annonce une nouvelle solution de test de sécurité des API qui ne laisse aucune API non testée
La nouvelle version d'Active Testing de Noname Security combine des intégrations conviviales pour les développeurs avec une accessibilité d'API de premier ordre.
LONDRES, 21 juin 2023 /PRNewswire/ -- Noname Security, le principal fournisseur de solutions complètes de sécurité des API, a annoncé aujourd'hui la disponibilité générale d'Active Testing V2 pour aider les entreprises à tester toutes les API sans exception. Partie intégrante de la plateforme de sécurité API Noname, Active Testing est la solution de test de sécurité des API la plus simple, la plus avancée et la plus complète du marché. S'appuyant sur le succès de la version originale pionnière d'Active Testing, la dernière version majeure aide les leaders de l'industrie à passer à une approche « shift left » pour empêcher les failles d'atteindre la production, innover plus rapidement et assurer la conformité avec les exigences réglementaires en constante évolution.
Pour la plupart des API, la protection arrive trop tard
Aujourd'hui, la plupart des API ne sont pas testées sur le plan de la sécurité avant d'être mises en production. Les processus d'assurance qualité (QA) vérifient la fonctionnalité des applications et des API. Certaines API sont testées à l'aide d'outils de sécurité, mais les limites de ces outils font que la plupart des API ne sont pas prises en compte. Les API sont donc vulnérables, même si elles gèrent les données les plus importantes des entreprises, notamment les informations personnelles identifiables (PII), les informations personnelles de santé (PHI) ou les données financières telles que les données de l'industrie des cartes de paiement (PCI).
Les entreprises tournées vers l'avenir ont adopté les méthodologies « shift left » et « DevSecOps » pour intégrer la sécurité plus tôt dans le cycle de développement. Cependant, les outils et approches de test traditionnels n'ont pas été conçus pour tester la sécurité des API, laissant les organisations exposées aux risques. Voici les difficultés actuelles :
· Les approches de test traditionnelles telles que SCA, SAST et DAST ne comprennent pas la logique métier complexe qui permet aux API de fonctionner, mais qui les rend également vulnérables. De nombreuses solutions de test n'utilisent que le fuzzing, qui effectue des tests bruts principalement pour la fonctionnalité et uniquement pour les vulnérabilités les plus basiques.
· De plus, la plupart des API ne sont même pas identifiées par les outils SAST/DAST et ne sont pas réellement testées. C'est ce que les experts en sécurité appellent « l'accessibilité » : la capacité de consommer avec succès une API pour la tester, y compris sur le plan fonctionnel (par exemple, le statut « HTTP 200 OK ») et logique (par exemple, le corps de la réponse comprend les valeurs attendues).
· L'approche DAST demande un calibrage spécifique des langages de programmation utilisés. Sa mise en place requiert une expertise importante. Elle n'offre qu'une couverture limitée de la logique d'entreprise et peut prendre des jours pour fournir des résultats.
Sécurisé dès le départ : approche shift left avec la sécurité des API
Noname Security Active Testing est une solution de test de sécurité des API spécialement conçue pour aider les entreprises à ajouter facilement la sécurité des API à leur processus de développement d'applications, y compris l'intégration et la livraison continues (CI/CD), l'analyse dynamique ou statique des spécifications des API, et bien plus encore. Conçue pour compléter les outils et processus de sécurité existants, Active Testing aide les entreprises à
· Ne laisser aucune API non testée avec une capacité unique de trouver et de tester chaque API basée sur une compréhension de la logique métier de l'application.
· Effectuer des tests « shift left » avec les intégrations dans l'ensemble du cycle du développement logiciel (SDLC). Les équipes obtiennent une visibilité dynamique des API dans plusieurs états et environnements tout au long du processus CI/CD.
· Permettre aux développeurs d'utiliser les meilleures fonctionnalités possibles, telles que la configuration et l'automatisation simples, les résultats de tests en ligne et les conseils contextuels pour limiter les échecs des requêtes.
« Tester la sécurité des API en cours de développement est une question de bon sens financier », déclare Shay Levi, directeur technique et cofondateur de Noname Security. « Résoudre les problèmes plus tôt dans le cycle de vie d'une API peut réduire de 10 à 100 fois les coûts de correction. Avec l'augmentation des coûts de réécriture du code, les amendes réglementaires, les retards dans les nouveaux produits, l'impact sur la marque et la baisse de la valeur des actions après les violations, il n'est pas surprenant que les leaders de l'industrie s'occupent activement de la sécurité des API dans le développement. »
Comment Noname Active Testing aide à éliminer les vulnérabilités ?
Conçue dès le départ pour répondre spécifiquement aux difficultés des tests des API pour les failles de sécurité, la solution Noname Security Active Testing comprend :
· Une expérience utilisateur conviviale pour les développeurs afin d'assurer une couverture et une adoption complètes.
· Une intégration facile avec les processus de développement, y compris les pipelines CI/CD, l'analyse dynamique et statique des spécifications, et plus encore.
· Plus de 160 tests de sécurité des attaques logiques d'entreprise, y compris le Top 10 API de l'OWASP.
· Une meilleure accessibilité pour s'adapter à la logique métier unique des API et des applications.
· Une connaissance du cycle de vie de l'API et de l'environnement afin d'identifier facilement l'apparition de vulnérabilités et d'établir des priorités en matière d'examen.
· Une prise en charge de tous les principaux types d'API, y compris GraphQL.
En plus d'Active Testing, Noname Security continue d'innover sur l'ensemble de la plateforme de sécurité API Noname, avec notamment des capacités supplémentaires pour sécuriser les clusters Kubernetes, la fonctionnalité eBPF, des options de correction en ligne, des intégrations et une personnalisation plus poussée de l'IA/ML.
Pour en savoir plus sur la façon dont Active Testing peut vous aider à fournir plus rapidement des API sécurisées, consultez le site nonamesecurity.com/security-testing.
À propos de Noname Security
Noname Security fournit la solution de sécurité API la plus complète et la plus proactive. Noname travaille avec 25 % des entreprises du Fortune 500 et couvre l'ensemble du champ de la sécurité des API : la découverte, la gestion de la stratégie, la protection de l'exécution et les tests de sécurité des API. Noname Security est une société privée, qui privilégie le télétravail et dont le siège social se trouve dans la Silicon Valley, en Californie. Elle possède des bureaux à Tel-Aviv et à Amsterdam.
Partager cet article