The Synopsys Software Integrity Group is now Black Duck®. Learn More

如果没有适当的设计、实施和管理,API 可能会在开源、第三方库和组件中产生漏洞,从而给您的组织带来安全风险。Black Duck 提供各种工具和服务,帮助您的安全团队和开发团队实现有效的 API 安全测试计划。

API 是增长最快的攻击面

45%

的 ESG 调查受访者表示,API 是他们最大的安全问题

38%

的 ESG 调查受访者因 API 不安全而面临各种可能导致数据丢失的攻击

了解 API 安全挑战

缺乏对整体应用程序安全态势的了解

开发团队和 AppSec 团队对其应用程序 API 没有整体了解,包括影子 API 和恶意 API。他们的 API 文档经常不准确或缺失,这导致了对风险态势的扭曲看法。

没有 API 测试最佳实践方面的专业知识

许多组织不知道如何把 Web 接口和后端 API 作为其整体 AppSec 计划的一部分进行妥善测试。QA 团队很难手动配置 API 进行身份验证和访问控制,从而耗费大量时间和资源。

API 架构和外部服务之间数据流的可见性有限

AppSec 团队通常只对整体系统风险有局部了解,而对从 API 端点到应用程序内组件的数据流缺乏整体了解。

基于 API 的安全应用程序

发现

发现每个应用程序资产的 API 端点并建立 API 清单。跟踪/检测自动化部署以维护 API 清单。

测试

评估 API 安全性并持续测试以确定是否有漏洞。将 API 测试和文档作为 CI/CD 管道的一部分进行集成。以开发人员友好的格式提供可执行的结果。

修复

通过代码行视角验证结果来修复 API 弱点。高速高效地实时修复问题。

使用 Black Duck 创建有效的 API 安全测试程序

组织需要建立全面的 API 安全测试计划,其中包括应对基于 API 的应用程序风险的策略。通过创建 API 生命周期管理和策略计划,在整个企业攻击面编制所有已知 API 和影子 API 的清单,使用应用程序安全测试工具检测漏洞并生成有关 API 弱点,您可以保护您的企业应用程序免受潜在威胁。

API 自动发现
自动检测应用程序暴露的端点并执行连续测试

Seeker 发现所有已知和未知的 API 端点,创建 API 目录,并满足您在整个应用程序环境中查找 API 的需求。该工具会自动更新清单,并对这些 API 执行持续测试,以评估漏洞风险,缓解 AppSec 团队在开始 API 安全之旅时面临的各种挑战。

持续 API 测试
自动测试整个攻击面

Seeker 的主动检查功能采用 API 规范,并自动生成请求以覆盖应用程序的攻击面。Seeker 利用任何现有的认证会话来重复使用认证令牌进行测试,无需配置。Seeker 还测试隐藏的参数,以根除潜在危险的安全漏洞,并标记您的应用程序中暴露的任何敏感数据。

<p>Your developers are the first line of defense against security weaknesses (CWEs) and vulnerabilities (CVEs). Enable them to find and fix security defects as they code with&nbsp;<a href="/content/black-duck/en-us/code-sight.html">Code Sight™ IDE integration</a>.&nbsp;</p>

易于修复
使用可视化数据流程图识别代码和数据中的缺陷

Seeker 对 API 背后的运行代码和数据流具有白盒可见性。您的开发团队从数据流图中获取基于上下文的修正指南和实时信息,该图显示了被测系统的架构,包括大型微服务应用;组织中各服务之间的连接;以及与外部 Web 服务的连接。Seeker 支持各种使用 GraphQL 和 RESTful API 的微服务应用。

API 计划策略
构建 API 安全控制和策略

Black Duck 应用程序安全和风险管理提供战略咨询服务,包括企业 API 计划战略设计、威胁和风险评估,以及 API 渗透测试,以满足您所有的 API 安全需求。

详细了解 API 安全测试