Webinaire en vedette : MISRA C++ 2023 : tout ce que vous devez savoir | Voir le séminaire

Pourquoi la sécurité des API est la nouvelle ligne de front de la sécurité des applications

Portrait d'Arthur Hicken, évangéliste chez Parasoft
Le 1 avril 2021
3 min lire

La sécurité des applications ne peut pas être terminée sans tester la sécurité des API dans vos applications. Voici une séance de questions-réponses avec un expert en sécurité sur la place de la sécurité des API OWASP et de SAST dans la réalisation de la sécurité des applications.

Comment relevez-vous les défis de la sécurité des API ?

Des failles de sécurité récentes se sont produites qui tirent parti des API pour voler les données des clients. Les API sont largement utilisées dans les applications d'entreprise. Pour cette raison, vous devez vous concentrer plus étroitement sur la sécurité des API pendant le processus de validation du logiciel. C'est un domaine qui émerge encore en termes de sensibilisation, de mise en œuvre et d'appropriation.

De plus, la sécurité des API combine tous les défis habituels de Logiciel de test d'API avec les défis des tests de sécurité des applications traditionnels (AST).

Récemment, j'ai eu l'occasion de parler avec Sandy Carielli, analyste principale chez Forrester Research, de ses réflexions sur la sécurité des applications, test de sécurité des applications statiques (SAST), et le API OWASP Top 10 de la sécurité.

J'ai le plaisir de partager un aperçu des connaissances des experts de Sandy sur les tests de sécurité des API. Sandy sera l'invitée vedette de notre prochain webinaire sur 22 avril 2021 à 9 h HP.

Webinaire: Protégez les applications avec OWASP API Security Top 10 et SAST

Questions et réponses sur les tests de sécurité des API avec l'invité vedette Sandy Carielli, analyste principal chez Forrester Research

Q: La sécurité des applications prend de plus en plus d'importance. Dans quelle mesure la sécurité des API est-elle critique pour les efforts de sécurité globaux?

A: La sécurité des API est vitale pour les efforts de sécurité globaux. Les API sont devenues un composant essentiel des applications modernes, et de nombreuses équipes de développement conçoivent leurs applications pour qu'elles soient «API d'abord». Cela signifie que si l'API n'est pas sécurisée, l'application n'est pas sécurisée. Nous avons constaté de nombreux cas de violations dues à des API mal implémentées ou non protégées. Les violations d'API ont révélé des achats de clients, des informations de compte utilisateur et même le statut COVID-19 des ménages à l'autre bout du monde.

Q: L'OWASP a joué un rôle central dans la sécurité des applications avec sa formation gratuite et son Top 10. Le Top 10 de la sécurité des API de l'OWASP aura-t-il le même impact sur la sécurité des API ?

A: Cela semble déjà se produire. Les utilisateurs se tournent vers le Top 10 de la sécurité de l'API OWASP comme point de départ pour comprendre ce qu'ils doivent prendre en compte. Je ne peux pas vous dire combien de fournisseurs avec qui j'ai parlé ont introduit le Top 10 de la sécurité des API OWASP dans le cadre de la manière dont ils prennent en charge la sécurité des API des clients. Des problèmes tels que l'authentification brisée, l'autorisation brisée et l'exposition excessive aux données sont répandus. Cela dit, le Top 10 OWASP ne résoudra pas tous vos problèmes de sécurité, vous devez examiner de manière plus globale la sécurité des API que le Top 10 de la sécurité des API OWASP. Pour de nombreuses équipes, la sécurité des API commence par connaître les API dans votre environnement.

Q: Le développement et les tests manquent généralement de connaissances en matière de sécurité. Comment les équipes de sécurité peuvent-elles partager efficacement leurs connaissances de manière à permettre à d'autres personnes de participer au processus AST / AppSec?

A: Les champions de la sécurité des développeurs sont un excellent moyen pour les équipes de sécurité d'adapter leurs connaissances à l'organisation de développement et de renforcer leur crédibilité auprès des développeurs. Les champions de la sécurité des développeurs sont des membres des équipes de développement qui sont formés aux principes de base de la sécurité des applications. Ce sont avant tout des développeurs, mais ils apportent également des connaissances en matière de sécurité et un plaidoyer à leur équipe locale. Les champions répondent aux questions de sécurité de base des membres de l'équipe de développement, et ils entretiennent également des relations avec l'équipe de sécurité pour tendre la main lorsque des problèmes plus complexes surviennent.

Q: Les organisations disposent déjà de nombreux outils AST. Répondent-ils aux besoins de sécurité des API ou les ingénieurs auront-ils besoin de quelque chose de plus?

A: De nombreux outils AST ne testent pas les API, bien que certains fournisseurs commencent à étendre leurs capacités ou à proposer des outils supplémentaires axés sur les API. Travaillez avec votre fournisseur AST pour comprendre dans quelle mesure il prend en charge les API de test, et soyez prêt à apporter des outils ou services supplémentaires pour compléter ce qu'il n'offre pas. Jusqu'à ce que vous disposiez d'une suite complète d'outils de test qui analysent les API, envisagez d'ajouter des services de test de pénétration axés sur les API dans le mix.

Q: Comment l'analyse statique (SAST) s'intègre dans une stratégie de test de sécurité API?

A: Si les outils d'analyse statique peuvent vous aider à identifier les failles dans vos définitions d'API, ils constitueront un élément précieux du processus de test de l'API préliminaire. Comme pour la sécurité globale des applications, aucun outil ne résoudra tous vos problèmes, mais l'analyse statique est efficace pour détecter les problèmes au début du développement, idéalement dans les contextes des développeurs, ce qui facilite la correction. Un outil SAST compatible API vous aidera à trouver et à corriger les failles de sécurité des API au début du cycle de vie.

Webinaire: Protégez les applications avec OWASP API Security Top 10 et SAST