Encuentre vulnerabilidades de seguridad de API con Parasoft Continuous Quality versión 2021.2

La última versión de la solución Parasoft Continuous Quality ahora está disponible con versiones actualizadas de Parasoft SOAtest, Virtualize, CTP y DTP. Esta versión se centra en tres áreas principales.

1. Pruebas de seguridad de API. Parasoft SOAtest ahora cuenta con la capacidad de integrar estrechamente las pruebas de seguridad de aplicaciones dinámicas (DAST) para las API en sus conjuntos de pruebas funcionales, y DAST también se integra a la perfección con Parasoft CTP y Parasoft Virtualize.
2. Reportes mejorados en las tres aplicaciones, incluidas actualizaciones para la ejecución de pruebas, cobertura de API e informes de seguridad de API, todos los cuales se publican directamente en Parasoft DTP para optimizar las pruebas y la planificación de sprints.
3. Facilidad de uso mejoras para agregar servidores SOAtest y Virtualize en CTP, actualizaciones del menú contextual, mejoras de instalación e integración, y más.

Un enfoque en la seguridad de las API, los informes y la usabilidad del cliente

Tras el éxito del enfoque de la versión 2021.1 en ofrecer calidad a gran velocidad, la versión 2021.2 de Parasoft se centra en usted, el cliente, específicamente.

¿Cómo puede esta última versión ayudarlo a optimizar y maximizar la entrega de calidad a gran velocidad?

A través de actualizaciones de funciones y mejoras de usabilidad, puede acceder a la información correcta en el momento adecuado y asegurarse de que sus aplicaciones se prueben para fortalecerlas contra ciberataques.

Mejoras de seguridad de API

Además de la extensión existente de Parasoft SOAtest para BurpSuite, hay una nueva capacidad que aumenta SOAtest a través de integración perfecta con OWASP ZAP. Ahora, los desarrolladores y evaluadores pueden simplemente agregar pruebas de penetración a sus conjuntos de pruebas funcionales y lanzar una batería de simulaciones de ciberataques de prueba de lápiz para todo el conjunto o pruebas específicas. Como estas pruebas ya se han creado para el lado funcional, la reutilización de estas mismas pruebas ahorra un tiempo considerable y un esfuerzo de reelaboración y, sobre todo, estas pruebas se pueden ejecutar como parte de una canalización de CI / CD sin intervención manual.

Para ejecutar ciertas API, algunas pueden requerir configuración, como preparar la base de datos o llamar a otras API. Al comenzar con pruebas funcionales que ya se ha demostrado que funcionan correctamente, la configuración está lista.

Las herramientas típicas de pruebas de penetración pueden informar sobre vulnerabilidades, pero se quedan cortas a la hora de brindar cualquier contexto sobre el caso de uso y/o el requisito al que está conectada la vulnerabilidad. Usando SOAtest para ejecutar los casos de prueba, el Vulnerabilidades de la API se reportan en el contexto de un caso de uso. Cuando los escenarios se han asociado con los requisitos, los desarrolladores y evaluadores obtienen un contexto comercial adicional sobre el impacto de los errores de seguridad en la aplicación. Con SOAtest más DAST, ahora tiene la capacidad de ejecutar escenarios de pruebas de penetración dentro de la canalización de CI/CD, convirtiendo las pruebas funcionales en pruebas de regresión de seguridad.

Además, esta mejora incluye el fuzzing de verbos HTTP, que analiza y valida su especificación formateada OpenAPI o RAML, luego prueba los métodos HTTP accesibles no definidos en la definición del servicio que pueden o no haber sido considerados, esencialmente probando su OpenAPI para lo que "no está allí ”. Los resultados de todas estas pruebas de seguridad API se pueden ver en un formato de informe HTML fácil de usar que es fácil de entender, y todos los resultados y la información fluyen sin problemas a DTP para planificar su estrategia de sprint actual y futura.

Mejoras en la cobertura y los informes

Se realizaron mejoras de usabilidad a la capacidad de Parasoft SOAtest para capturar la cobertura de la aplicación y reportar los resultados. La cobertura de aplicaciones capturada por SOAtest ahora se puede informar a DTP directamente y se pueden generar informes de cobertura de línea base para el análisis de impacto de prueba sin la necesidad de scripts adicionales. Para una mayor visibilidad, la cobertura de la aplicación ahora se puede capturar mediante pruebas ejecutadas en instalaciones de SOAtest solo en servidor.

Además, los informes HTML producidos por SOAtest Desktop tienen un aspecto y una sensación más modernos. Los trabajos de ejecución de pruebas de CTP se han separado de los propios escenarios de prueba, y hemos agregado la capacidad de crear informes personalizados para los trabajos de ejecución de pruebas. También puede configurar sus trabajos CTP para enviar resultados a DTP. Mientras tanto, ahora se puede acceder directamente a los escenarios de prueba a través de URL y coloración de sintaxis de funciones de mensajes de eventos JSON y XML para mejorar la legibilidad.

Mejoras de usabilidad

Hemos realizado muchas mejoras de usabilidad interesantes en los productos incluidos en esta versión. Consulte los detalles completos en nuestras notas de la versión 2021.2 para SOAtest, Virtualize y CTP y DTP. Aquí hay algunos avances para abrirle el apetito. Usted puede:

• Agregue y configure servidores SOAtest y Virtualize desde dentro de CTP.
• Cree respondedores parametrizados a partir de definiciones de servicio, sin el uso de tráfico registrado.
• Obtenga una mejor visibilidad de la trazabilidad con la integración de Azure DevOps y pruebe la granularidad con sistemas de administración de requisitos externos en DTP.
• Acceda a los nuevos menús de acción del botón derecho del ratón en el escenario de prueba y los árboles de activos virtuales en CTP.
• Reciba notificaciones por correo electrónico de los resultados al finalizar sus pruebas.
• Conseguir soporte para GitLab y cumplimiento de ADA 508 / WCAG 2.1 AA a través de CTP.

¡Y mucho más!

La versión 2021.2 de Parasoft de la solución Continuous Quality también da un paso de gigante al hacer que cada uno de nuestros productos empresariales esté disponible como imágenes de Docker en DockerHub. Esté atento a estos en las próximas semanas, lo que facilitará sustancialmente la instalación y la configuración para nuestros clientes.

Resumen

La versión 2021.2 de Parasoft SOAtest, Virtualize, CTP y DTP marca un nuevo nivel de visibilidad en la seguridad de API, agregando una integración perfecta con OWASP ZAP a nuestra compatibilidad BurpSuite existente.

También nos centramos en la usabilidad, la cobertura y las mejoras en los informes, así como en simplificar sustancialmente la instalación / configuración a través de DockerHub, para mejorar la experiencia del usuario y aumentar la productividad. Hay más mejoras interesantes que se han agregado a los productos sobre las que puede leer en las notas de la versión de SOAtest, virtualizar, CTP y DTP.

Por Jeff Peeples

Jeff Peeples es un Gerente de Producto Senior en Parasoft, liderando la dirección de la plataforma funcional para SOAtest, Virtualize y CTP. Jeff tiene una amplia experiencia en la definición de soluciones y el desarrollo de hojas de ruta para las industrias empresariales, incluidas la energía, las tecnologías financieras y los viajes / hotelería.