Présentation des intégrations de tests de sécurité des API (aperçu)
Microsoft Defender pour le cloud prend en charge les outils partenaires pour aider à améliorer les capacités de sécurité d’exécution existantes fournies par Defender pour les API. Defender pour le cloud prend en charge les fonctionnalités de test proactif de la sécurité des API dans les premières phases du cycle de vie du développement (y compris les référentiels de code source et les pipelines CI/CD).
La prise en charge des solutions partenaires permet de rationaliser, d’intégrer et d’orchestrer davantage les résultats de sécurité des solutions partenaires avec Microsoft Defender pour le cloud. Cette prise en charge permet une sécurité complète des API tout au long du cycle de vie et permet aux équipes de sécurité de découvrir et de corriger efficacement les vulnérabilités de sécurité des API avant leur déploiement en production.
Les résultats de l’analyse de sécurité des applications partenaires sont disponibles dans Microsoft Defender pour le cloud. La possibilité d’afficher les résultats dans Microsoft Defender pour le cloud garantit que les équipes de sécurité centrales ont une visibilité sur l’état des API au sein de l’expérience de suggestion Microsoft Defender pour le cloud. Ces équipes de sécurité peuvent désormais prendre des mesures de gouvernance qui sont disponibles nativement via les recommandations de Defender pour le cloud, et bénéficier de l’extensibilité pour exporter les résultats d’analyse depuis Azure Resource Graph dans des outils de gestion de leur choix.
Prérequis
Cette fonctionnalité nécessite un connecteur DevOps dans Defender pour le cloud. Consultez Comment intégrer des environnements DevOps.
| Aspect | Détails |
|---|---|
| État de publication | PRÉVERSION Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale. |
| Exigences environnementales obligatoires/préférées | API dans le dépôt de code source, y compris des fichiers de spécification d’API comme OpenAPI et Swagger. |
| Clouds | Disponible dans les clouds commerciaux. Non disponible dans les clouds nationaux/souverains (Azure Government, Microsoft Azure géré par 21Vianet). |
| Systèmes de gestion du code source | GitHub Enterprise Cloud. Ceci nécessite également une licence pour GitHub Advanced Security (GHAS). Azure DevOps Services |
Applications prises en charge
| Logo | Nom du partenaire | Description | Guide d’activation |
|---|---|---|---|
|
Guide d’intégration de 42Crunch | Les développeurs peuvent tester et renforcer de façon proactive les API au sein de leurs pipelines CI/CD via des tests statiques et dynamiques des API par rapport aux principaux risques d’API OWASP et aux meilleures pratiques de la spécification OpenAPI. | Guide d'intégration technique 42Crunch |
|
StackHawk | StackHawk est le seul outil moderne de test de sécurité DAST (Dynamic Application Security Testing) et d’API qui s’exécute dans CI/CD, permettant aux développeurs de trouver et de résoudre rapidement les problèmes de sécurité avant qu’ils n’apparaissent en production. | Guide d’intégration de StackHawk |
|
Bright Security | La plateforme DAST centrée sur le développement de Bright Security permet aux développeurs et aux professionnels AppSec de tester la sécurité de niveau entreprise pour les applications web, les API, et les applications GenAI et LLM. Bright sait comment effectuer les tests appropriés, au moment opportun dans SDLC, dans les meilleures outils et piles de développement et AppSec, avec un minimum de faux positifs et de fatigue des alertes. | Guide d’intégration de Bright Security |