Construire le pont entre le développement et AppSec

Votre équipe de développement est-elle gênée par les revues AppSec de « l'équipe rouge » qui retardent la livraison ou le déploiement en raison de rejets et de remaniements apparemment sans fin en raison de l'échec des audits de sécurité ?

Parasoft a une solution pour le paradigme Nous contre Eux qui prévaut aujourd'hui dans de nombreuses organisations. Notre nouveau test dynamique de sécurité des applications (DAST) l'offre s'intègre de manière transparente Parasoft SOAtest avec OWASP ZAP pour fournir à vos tests fonctionnels actuels des tests d'intrusion, y compris le fuzzing.

Bien sûr, certaines équipes de développement peuvent adopter une position « la sécurité n'est pas mon travail » à ce sujet. Mais la sécurité doit être l'affaire de tous, à chaque étape du SDLC. Si le code du développement est incapable de passer les tests de sécurité des applications et est renvoyé au développement pour correction, cela devient rapidement le travail du développement.

Ne pouvons-nous pas tous nous entendre?

Pour créer une harmonie dans cette situation, Parasoft a rendu encore plus facile le passage à gauche des tests des principaux risques de sécurité. Les équipes peuvent ajouter des tests de sécurité API aux suites de tests existantes en quelques clics. Lorsque l'équipe de développement exécute les tests fonctionnels de l'API, elle peut également réutiliser les mêmes tests pour les tests de sécurité de l'API. Un rapport codé par couleur résumera les résultats afin que les développeurs puissent résoudre les défauts.

Test de sécurité de l'API Shift Left

Dans le bien connu oeuvre de Capers Jones en 1996, il a quantifié l'augmentation des coûts pour réparer les défauts dans les étapes ultérieures du SDLC. Cette recherche est toujours d'actualité aujourd'hui, seules les équipes le font plus vite maintenant grâce à Agile. C'est de là que vient le terme « décalage vers la gauche » lorsque les équipes de développement de logiciels cherchent à prévenir et à réparer les défauts plus tôt dans le cycle où ils coûtent beaucoup moins cher à réparer.

Encouragez votre organisation à adopter l'approche décalée vers la gauche pour les tests de sécurité des API afin de donner aux équipes de développement la possibilité de détecter et de résoudre les risques de sécurité pendant la phase de développement. Lorsque les équipes AppSec ou DevSecOps effectuent des tests de sécurité et de pénétration, les testeurs de stylet peuvent tirer parti de Parasoft Outil de test de sécurité API pour tester la fonctionnalité de l'API. Voici comment:

• Utilisez la suite de tests API actuelle pour les tests fonctionnels et de sécurité avec la nouvelle intégration DAST.
• Si une suite de tests d'API n'existe pas encore, utilisez le générateur de tests d'API intelligents de Parasoft SOAtest pour créer de nouveaux tests rapidement et facilement.
• Les équipes utilisant déjà OWASP ZAP peuvent également réutiliser les politiques des déploiements existants, même personnalisés.

Quelle que soit la manière dont les équipes utilisent la solution de sécurité API Parasoft, elles peuvent facilement tirer parti des tests fonctionnels API pour les tests de sécurité API et augmenter la couverture globale des tests d'application.

Quelle que soit la situation, la solution DAST de Parasoft est idéale. Regardez la vidéo de démonstration des tests de sécurité des API pour voir à quel point il est facile d'ajouter des tests de pénétration de la sécurité des API aux tests fonctionnels existants.

Par Jeffrey Peeples

Jeff Peeples est chef de produit senior chez Parasoft, dirigeant la direction de la plate-forme fonctionnelle pour SOAtest, Virtualize et CTP. Jeff possède une vaste expérience dans la définition de solutions et l'élaboration de feuilles de route pour les secteurs d'activité, notamment l'énergie, les technologies financières et les voyages/l'hôtellerie.