Parasoft是構(gòu)建高質(zhì)量軟件的最佳解決方案。從開(kāi)發(fā)到質(zhì)量檢查，Parasoft的技術(shù)通過(guò)集成靜態(tài)和運(yùn)行時(shí)分析，單元、功能和API測(cè)試，以及服務(wù)虛擬化，在不犧牲質(zhì)量和安全性的情況下加快軟件交付，節(jié)約交付成本。

>>如果您想使用Parasoft測(cè)試是否滿足項(xiàng)目要求，可聯(lián)系客服

討論 API 安全性以及為什么我們應(yīng)該關(guān)心它有點(diǎn)像談?wù)摮晕覀兊氖卟恕Ｎ覀兌贾莱允卟藢?duì)我們的健康有益，但我們有多少人真正做到了呢？應(yīng)用程序安全性有點(diǎn)像這樣。雖然它對(duì)我們的應(yīng)用程序和我們的業(yè)務(wù)的健康至關(guān)重要，但為它而努力并不像構(gòu)建酷炫的新應(yīng)用程序功能那么有趣。但我們只需要看看最近的新聞標(biāo)題就可以了解它的重要性。

傳統(tǒng)上，驗(yàn)證應(yīng)用程序或 API 的安全性是在開(kāi)發(fā)過(guò)程結(jié)束時(shí)完成的。不過(guò)，這本質(zhì)上是有問(wèn)題的。修復(fù)發(fā)現(xiàn)的錯(cuò)誤通常為時(shí)已晚：可能離發(fā)布日期太近而無(wú)法修復(fù)問(wèn)題，或者團(tuán)隊(duì)可能已經(jīng)轉(zhuǎn)移到其他項(xiàng)目，或者應(yīng)用程序的架構(gòu)可能天生不安全。

此外，今天的服務(wù)和應(yīng)用程序比以往任何時(shí)候都更頻繁地發(fā)布，通常一天發(fā)布多次。這種快速發(fā)布的節(jié)奏使得傳統(tǒng)方法站不住腳。

由于滲透測(cè)試成本高昂且需要很長(zhǎng)時(shí)間才能運(yùn)行，因此必須以可擴(kuò)展和可持續(xù)的方式執(zhí)行API 安全測(cè)試。

進(jìn)入持續(xù)集成

通過(guò)將滲透測(cè)試引入Parasoft的 CI 工作流程，將相同的解決方案應(yīng)用于 API 的自動(dòng)化安全測(cè)試。這將確保更快地測(cè)試安全漏洞，并且它將提供安全回歸測(cè)試，可以在新問(wèn)題出現(xiàn)時(shí)立即捕獲它們。但是需要對(duì)此保持謹(jǐn)慎，因?yàn)闈B透測(cè)試成本高昂，并且可能需要很長(zhǎng)時(shí)間才能運(yùn)行。必須以可擴(kuò)展和可持續(xù)的方式來(lái)做到這一點(diǎn)。

從功能測(cè)試開(kāi)始

首先，讓我們假設(shè)我們有一個(gè) SOAtest 場(chǎng)景，其中包含 1 個(gè)清理數(shù)據(jù)庫(kù)的設(shè)置測(cè)試和 3 個(gè)進(jìn)行 3 個(gè)不同 API 調(diào)用的測(cè)試。我們希望對(duì)場(chǎng)景中正在調(diào)用的 3 個(gè) API 中的每一個(gè)執(zhí)行滲透測(cè)試：

我們將首先通過(guò)向場(chǎng)景中的每個(gè)測(cè)試添加滲透測(cè)試工具來(lái)準(zhǔn)備安全場(chǎng)景：

然后我們將使用 SOAtest 執(zhí)行這個(gè)場(chǎng)景。隨著每個(gè)測(cè)試的執(zhí)行，SOAtest 將進(jìn)行測(cè)試中定義的 API 調(diào)用并捕獲請(qǐng)求和響應(yīng)流量。每次測(cè)試中的滲透測(cè)試工具都會(huì)將流量數(shù)據(jù)傳遞給 OWASP ZAP 滲透測(cè)試工具的嵌入式實(shí)例，該工具將根據(jù)它在流量數(shù)據(jù)中觀察到的 API 參數(shù)，使用自己的啟發(fā)式方法對(duì) API 執(zhí)行滲透測(cè)試。

然后，滲透測(cè)試工具將報(bào)告發(fā)現(xiàn)的與訪問(wèn) API 的測(cè)試相關(guān)的任何錯(cuò)誤。這是一個(gè)示例 SOAtest 報(bào)告，其中包含按 CWE 和嚴(yán)重性組織的所有錯(cuò)誤：

SOAtest 結(jié)果可以進(jìn)一步報(bào)告到 DTP，Parasoft 的報(bào)告和分析儀表板，以獲得額外的報(bào)告功能。這是其工作原理的表示：

重新利用功能測(cè)試作為安全測(cè)試有以下好處：

1. 由于我們已經(jīng)在編寫功能測(cè)試，我們可以重用已經(jīng)完成的工作，節(jié)省時(shí)間和精力。
2. 要執(zhí)行某些 API，我們可能需要進(jìn)行一些設(shè)置，例如準(zhǔn)備數(shù)據(jù)庫(kù)或調(diào)用其他 API。如果我們從已經(jīng)工作的功能測(cè)試開(kāi)始，這個(gè)設(shè)置已經(jīng)完成。
3. 通常，滲透測(cè)試工具會(huì)報(bào)告某個(gè) API 調(diào)用存在漏洞，但它不會(huì)提供有關(guān)用例和/或它所連接的要求的任何上下文。由于我們使用 SOAtest 來(lái)執(zhí)行測(cè)試用例，因此在用例的上下文中報(bào)告了安全漏洞。當(dāng)場(chǎng)景與需求相關(guān)聯(lián)時(shí)，我們現(xiàn)在可以獲得關(guān)于安全錯(cuò)誤對(duì)應(yīng)用程序的影響的附加業(yè)務(wù)上下文。
4. 我們有一個(gè)測(cè)試場(chǎng)景，可以用來(lái)輕松重現(xiàn)錯(cuò)誤或驗(yàn)證它是否已修復(fù)。

準(zhǔn)備用作安全測(cè)試的功能測(cè)試

1. 滲透測(cè)試工具分析請(qǐng)求/響應(yīng)流量以了解請(qǐng)求中的哪些參數(shù)可供測(cè)試。我們需要選擇在每個(gè) API 中執(zhí)行所有參數(shù)的功能測(cè)試，以確保 API 的每個(gè)輸入都得到分析。
2. 在每個(gè)場(chǎng)景中，我們需要決定應(yīng)該對(duì)哪些 API 調(diào)用進(jìn)行滲透測(cè)試。同一個(gè) API 可能會(huì)被多個(gè)場(chǎng)景引用，我們不希望在不同場(chǎng)景中測(cè)試的 API 上重復(fù)滲透測(cè)試。滲透測(cè)試工具應(yīng)僅添加到要進(jìn)行滲透測(cè)試的 API 的適當(dāng)測(cè)試中。
3. 場(chǎng)景數(shù)量需要可控，以便安全測(cè)試運(yùn)行時(shí)間足夠短，每天至少運(yùn)行一次。

維護(hù)穩(wěn)定的測(cè)試環(huán)境

我們的 API 也可能依賴于我們無(wú)法控制的其他 API。我們可以考慮使用服務(wù)虛擬化來(lái)隔離我們的環(huán)境，這樣我們就不會(huì)依賴那些外部系統(tǒng)。這將有助于穩(wěn)定我們的測(cè)試，同時(shí)防止由于我們的滲透測(cè)試工作對(duì)外部系統(tǒng)造成意外后果。

結(jié)論