Trouvez les vulnérabilités de sécurité des API avec Parasoft Continuous Quality Version 2021.2

La dernière version de la solution Parasoft Continuous Quality est désormais disponible avec les versions mises à jour de Parasoft SOAtest, Virtualize, CTP et DTP. Cette version se concentre sur trois domaines principaux.

1. Tests de sécurité des API. Parasoft SOAtest offre désormais la possibilité d'intégrer étroitement les tests dynamiques de sécurité des applications (DAST) pour les API dans vos suites de tests fonctionnels, et DAST s'intègre également de manière transparente avec Parasoft CTP et Parasoft Virtualize.
2. Rapports améliorés dans les trois applications, y compris les mises à jour pour l'exécution des tests, la couverture des API et les rapports de sécurité des API, tous publiés directement dans Parasoft DTP pour optimiser les tests et la planification des sprints.
3. Facilité d'utilisation améliorations pour l'ajout de serveurs SOAtest et Virtualize dans CTP, mises à niveau du menu contextuel, améliorations de l'installation et de l'intégration, et plus encore.

Un focus sur la sécurité des API, les rapports et la convivialité client

Suite au succès de l'accent mis par la version 2021.1 sur la livraison rapide de la qualité, la version 2021.2 de Parasoft se concentre spécifiquement sur vous, le client.

Comment cette dernière version peut-elle vous aider à optimiser et à maximiser la livraison rapide de la qualité ?

Grâce aux mises à jour des fonctionnalités et aux améliorations de la convivialité, vous pouvez accéder aux bonnes informations au bon moment et vous assurer que vos applications sont testées pour les protéger contre les cyberattaques.

Améliorations de la sécurité des API

En plus de l'extension existante de Parasoft SOAtest pour BurpSuite, il existe une nouvelle capacité qui augmente SOAtest via intégration transparente avec OWASP ZAP. Désormais, les développeurs et les testeurs peuvent simplement ajouter des tests d'intrusion à leurs suites de tests fonctionnels et lancer une batterie de simulations de cyberattaques de tests d'intrusion pour l'ensemble de la suite ou des tests spécifiques. Comme ces tests ont déjà été créés pour le côté fonctionnel, la réutilisation de ces mêmes tests permet d'économiser du temps et des efforts de reprise, et surtout, ces tests peuvent être exécutés dans le cadre d'un pipeline CI/CD sans intervention manuelle.

Afin d'exécuter certaines API, certaines peuvent nécessiter une configuration, telle que la préparation de la base de données ou l'appel d'autres API. Lorsque vous commencez avec des tests fonctionnels qui ont déjà fait leurs preuves, la configuration est terminée.

Les outils de test d'intrusion typiques sont capables de signaler des vulnérabilités, mais ils ne parviennent pas à donner un contexte sur le cas d'utilisation et/ou l'exigence à laquelle la vulnérabilité est liée. En utilisant SOAtest pour exécuter les cas de test, le Vulnérabilités de l'API sont rapportés dans le cadre d'un cas d'utilisation. Lorsque des scénarios ont été associés à des exigences, les développeurs et les testeurs obtiennent un contexte commercial supplémentaire sur l'impact des erreurs de sécurité sur l'application. Avec SOAtest plus DAST, vous avez désormais la possibilité d'exécuter des scénarios de test d'intrusion dans le pipeline CI/CD, transformant les tests fonctionnels en tests de régression de sécurité.

De plus, cette amélioration inclut le fuzzing HTTP, qui analyse et valide votre spécification au format OpenAPI ou RAML, puis teste les méthodes HTTP accessibles non définies dans la définition de service qui peuvent ou non avoir été prises en compte, testant essentiellement votre OpenAPI pour ce qui n'est pas là ”. Les résultats de tous ces tests de sécurité API peuvent être visualisés dans un format de rapport HTML convivial et facile à comprendre, et tous les résultats et informations circulent facilement dans DTP afin de planifier votre stratégie de sprint actuelle et à venir.

Améliorations de la couverture et des rapports

Des améliorations de convivialité ont été apportées à la capacité de Parasoft SOAtest à capturer la couverture des applications et à rapporter les résultats. La couverture des applications capturée par SOAtest peut désormais être signalée directement à DTP et des rapports de couverture de base pour l'analyse d'impact des tests peuvent être générés sans avoir besoin de scripts supplémentaires. Pour plus de visibilité, la couverture des applications peut désormais être capturée par des tests exécutés sur des installations serveur uniquement de SOAtest.

De plus, les rapports HTML produits par le bureau SOAtest ont une apparence plus moderne. Les tâches d'exécution de test CTP ont été séparées des scénarios de test eux-mêmes, et nous avons ajouté la possibilité de créer des rapports personnalisés pour les tâches d'exécution de test. Vous pouvez également configurer vos travaux CTP pour envoyer les résultats à DTP. Pendant ce temps, les scénarios de test sont désormais accessibles directement via l'URL et la coloration de la syntaxe des fonctionnalités des messages d'événement JSON et XML pour améliorer la lisibilité.

Améliorations de la convivialité

Nous avons apporté de nombreuses améliorations de convivialité intéressantes aux produits inclus dans cette version. Veuillez consulter tous les détails dans nos notes de version 2021.2 pour SOAtest, virtualisation et CTP et DTP. Voici quelques teasers pour vous mettre en appétit. Vous pouvez:

• Ajoutez et configurez des serveurs SOAtest et virtualisez à partir de CTP.
• Créez des répondeurs paramétrés à partir de définitions de service, sans utiliser de trafic enregistré.
• Obtenez une meilleure visibilité pour la traçabilité avec l'intégration Azure DevOps et testez la granularité avec des systèmes de gestion des exigences externes dans la PAO.
• Accédez à de nouveaux menus d'action par clic droit sur les arborescences de scénario de test et d'actif virtuel dans CTP.
• Recevez des notifications par e-mail des résultats à la fin de vos tests.
• Obtenez prise en charge de GitLab et la conformité à ADA 508/WCAG 2.1 AA via CTP.

Et bien plus encore!

La version 2021.2 de Parasoft de la solution de qualité continue fait également un pas de géant en rendant chacun de nos produits d'entreprise disponible sous forme d'images Docker sur DockerHub. Surveillez-les dans les semaines à venir, ce qui facilitera considérablement l'installation et la configuration pour nos clients.

Résumé

La version 2021.2 de Parasoft SOAtest, Virtualize, CTP et DTP marque un nouveau niveau de visibilité sur la sécurité des API, ajoutant une intégration transparente avec OWASP ZAP à notre compatibilité BurpSuite existante.

Nous nous sommes également concentrés sur l'amélioration de la convivialité, de la couverture et des rapports, ainsi que sur la simplification substantielle de l'installation/configuration via DockerHub, afin d'améliorer l'expérience utilisateur et d'augmenter la productivité. Il y a des améliorations plus intéressantes qui ont été ajoutées aux produits que vous pouvez lire dans les notes de version pour SOAtest, Virtualiser, CTPet DTP.