API 安全性測試整合概觀 (預覽)
適用於雲端的 Microsoft Defender 支援合作夥伴工具,協助增強適用於 API 的 Defender 所提供的現有運行時間安全性功能。 適用於雲端的 Defender 支援在開發生命週期 (包括原始程式碼存放庫與 CI/CD 管線) 的早期階段主動進行 API 安全性測試功能。
合作夥伴解決方案的支援可協助進一步簡化、整合及協調合作夥伴解決方案的安全性結果與 適用於雲端的 Microsoft Defender。 此支援可啟用完整的生命週期 API 安全性,以及安全性小組在生產環境中部署之前,能夠有效地探索和補救 API 安全性弱點。
合作夥伴應用程式的安全性掃描結果可在 適用於雲端的 Defender 內取得。 在 適用於雲端的 Defender 中檢視結果的能力可確保中央安全性小組能夠查看 適用於雲端的 Defender 建議體驗內的 API 健康情況。 這些安全性小組現在可以採取透過「適用於雲端的 Defender」建議原生提供的治理步驟,以及將掃描結果從 Azure Resource Graph 匯出到他們選擇的管理工具中的擴充性。
必要條件
此功能需要 適用於雲端的 Defender 中的DevOps連接器。 瞭解如何 將DevOps環境上線。
| 層面 | 詳細資料 |
|---|---|
| 版本狀態 | 預覽 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。 |
| 必要/慣用的環境需求 | 原始程碼存放庫中的 API,包括 OpenAPI、Swagger 等 API 規格檔案。 |
| 雲端 | 可在商業雲中使用。 不適用於國家雲/主權雲 (Azure Government、由 21Vianet 營運的 Microsoft Azure)。 |
| 原始程式碼管理系統 | GitHub Enterprise 雲端。 這也需要 GitHub Advanced Security (GHAS) 的授權。 Azure DevOps Services |
支援的應用程式
| 標誌 | 合作夥伴名稱 | 描述 | 啟用指南 |
|---|---|---|---|
|
42Crunch 上線指南 | 開發人員可以根據 OWASP API 的主要風險和 OpenAPI 規格最佳做法,透過對 API 進行靜態和動態測試,主動測試並強化其 CI/CD 管線中的 API。 | 42 處理技術上線指南 |
|
StackHawk | StackHawk 是唯一可在 CI/CD 中執行的新式 DAST 和 API 安全性測試工具,可讓開發人員在達到生產環境之前快速找出並修正安全性問題。 | StackHawk 上線指南 |
|
Bright Security | Bright Security 是以開發人員為中心的 DAST 平台,為開發人員和 AppSec 專業人員提供 Web 應用程式、API 和 GenAI 和 LLM 應用程式的企業級安全性測試功能。 Bright 知道如何在 SDLC 的正確時間,在開發人員和 AppSec 工具及選擇堆疊中,以最少的誤判和警示疲勞來提供正確的測試。 | Bright Security 上線指南 |