API セキュリティ テスト用の Microsoft Defender for Cloud のパートナー アプリケーション (プレビュー)
Microsoft Defender for Cloud では、Defender for API によって提供される既存のランタイム セキュリティ機能の強化に役立つサード パーティ ツールがサポートされています。 Defender for Cloud では、開発ライフサイクルの初期段階 (ソース コード リポジトリーおよび CI/CD パイプラインを含む) でプロアクティブ API セキュリティ テスト機能がサポートされています。
概要
サード パーティ ソリューションのサポートは、Microsoft Defender for Cloud を使用して、パートナーのソリューションからのセキュリティ結果をさらに合理化、統合、調整するのに役立ちます。 このサポートにより、完全なライフサイクル API セキュリティと、運用環境にデプロイされる前に、セキュリティ チームが API セキュリティの脆弱性を効果的に検出して修復できるようになります。
パートナー アプリケーションからのセキュリティ スキャン結果が Defender for Cloud 内で使用できるようになり、中央のセキュリティ チームが Defender for Cloud の推奨事項エクスペリエンス内の API の正常性を確実に把握できるようになりました。 これらのセキュリティ チームは、Defender for Cloud の推奨事項を通じてネイティブに利用できるガバナンス手順と、Azure Resource Graph から選択した管理ツールにスキャン結果をエクスポートする機能拡張を実行できるようになりました。
前提条件
この機能には、Defender for Cloud に GitHub コネクタが必要です。 GitHub 組織をオンボードする方法に関するページをご覧ください。
側面 | 詳細 |
---|---|
リリース状態 | プレビュー Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。 |
必須または優先環境要件 | OpenAPI、Swagger などの API 仕様ファイルを含む、ソース コード リポジトリ内の API。 |
クラウド | 商用クラウドで利用できます。 国内またはソブリン クラウド (Azure Government、21Vianet が運営する Microsoft Azure) では使用できません。 |
ソース コード管理システム | GitHub Enterprise Cloud。 これには、GitHub Advanced Security (GHAS) のライセンスも必要です。 Azure DevOps Services |
サポートされているアプリケーション
パートナー名 | 説明 | 有効化ガイド |
---|---|---|
42Crunch | 開発者は、上位の OWASP API リスクと OpenAPI 仕様のベスト プラクティスに対する API の静的および動的テストを通じて、CI/CD パイプライン内の API を事前にテストおよび強化できます。 | 42Crunch オンボード ガイド |
StackHawk | StackHawk は、CI/CD で実行される唯一の最新の DAST および API セキュリティ テスト ツールです。開発者はこれを使って、運用環境に展開する前にセキュリティの問題を迅速に検出して修正することができます。 | StackHawk オンボード ガイド |
Bright Security | Bright Security の開発中心の DAST プラットフォームでは、開発者と AppSec プロフェッショナルの両方に、Web アプリケーション、API、GenAI および LLM アプリケーション向けのエンタープライズ グレードのセキュリティ テスト機能を提供します。 Bright は、擬陽性とアラートの疲労を最小限に抑えて、SDLC において適切なタイミングで、開発者や AppSec のツールと選択したスタックで適切なテストを提供する方法を知っています。 | Bright Security オンボード ガイド |