Parasoft是構(gòu)建高質(zhì)量軟件的最佳解決方案。從開發(fā)到質(zhì)量檢查，Parasoft的技術(shù)通過集成靜態(tài)和運(yùn)行時分析，單元、功能和API測試，以及服務(wù)虛擬化，在不犧牲質(zhì)量和安全性的情況下加快軟件交付，節(jié)約交付成本。

>>如果您想使用Parasoft測試是否滿足項(xiàng)目要求，可聯(lián)系客服

討論 API 安全性以及為什么我們應(yīng)該關(guān)心它有點(diǎn)像談?wù)摮晕覀兊氖卟恕Ｎ覀兌贾莱允卟藢ξ覀兊慕】涤幸妫覀冇卸嗌偃苏嬲龅搅四兀繎?yīng)用程序安全性有點(diǎn)像這樣。雖然它對我們的應(yīng)用程序和我們的業(yè)務(wù)的健康至關(guān)重要，但為它而努力并不像構(gòu)建酷炫的新應(yīng)用程序功能那么有趣。但我們只需要看看最近的新聞標(biāo)題就可以了解它的重要性。

傳統(tǒng)上，驗(yàn)證應(yīng)用程序或 API 的安全性是在開發(fā)過程結(jié)束時完成的。不過，這本質(zhì)上是有問題的。修復(fù)發(fā)現(xiàn)的錯誤通常為時已晚：可能離發(fā)布日期太近而無法修復(fù)問題，或者團(tuán)隊(duì)可能已經(jīng)轉(zhuǎn)移到其他項(xiàng)目，或者應(yīng)用程序的架構(gòu)可能天生不安全。

此外，今天的服務(wù)和應(yīng)用程序比以往任何時候都更頻繁地發(fā)布，通常一天發(fā)布多次。這種快速發(fā)布的節(jié)奏使得傳統(tǒng)方法站不住腳。

由于滲透測試成本高昂且需要很長時間才能運(yùn)行，因此必須以可擴(kuò)展和可持續(xù)的方式執(zhí)行API 安全測試。

進(jìn)入持續(xù)集成

通過將滲透測試引入Parasoft的 CI 工作流程，將相同的解決方案應(yīng)用于 API 的自動化安全測試。這將確保更快地測試安全漏洞，并且它將提供安全回歸測試，可以在新問題出現(xiàn)時立即捕獲它們。但是需要對此保持謹(jǐn)慎，因?yàn)闈B透測試成本高昂，并且可能需要很長時間才能運(yùn)行。必須以可擴(kuò)展和可持續(xù)的方式來做到這一點(diǎn)。

從功能測試開始

首先，讓我們假設(shè)我們有一個 SOAtest 場景，其中包含 1 個清理數(shù)據(jù)庫的設(shè)置測試和 3 個進(jìn)行 3 個不同 API 調(diào)用的測試。我們希望對場景中正在調(diào)用的 3 個 API 中的每一個執(zhí)行滲透測試：

我們將首先通過向場景中的每個測試添加滲透測試工具來準(zhǔn)備安全場景：

然后我們將使用 SOAtest 執(zhí)行這個場景。隨著每個測試的執(zhí)行，SOAtest 將進(jìn)行測試中定義的 API 調(diào)用并捕獲請求和響應(yīng)流量。每次測試中的滲透測試工具都會將流量數(shù)據(jù)傳遞給 OWASP ZAP 滲透測試工具的嵌入式實(shí)例，該工具將根據(jù)它在流量數(shù)據(jù)中觀察到的 API 參數(shù)，使用自己的啟發(fā)式方法對 API 執(zhí)行滲透測試。

然后，滲透測試工具將報(bào)告發(fā)現(xiàn)的與訪問 API 的測試相關(guān)的任何錯誤。這是一個示例 SOAtest 報(bào)告，其中包含按 CWE 和嚴(yán)重性組織的所有錯誤：

SOAtest 結(jié)果可以進(jìn)一步報(bào)告到 DTP，Parasoft 的報(bào)告和分析儀表板，以獲得額外的報(bào)告功能。這是其工作原理的表示：

重新利用功能測試作為安全測試有以下好處：

1. 由于我們已經(jīng)在編寫功能測試，我們可以重用已經(jīng)完成的工作，節(jié)省時間和精力。
2. 要執(zhí)行某些 API，我們可能需要進(jìn)行一些設(shè)置，例如準(zhǔn)備數(shù)據(jù)庫或調(diào)用其他 API。如果我們從已經(jīng)工作的功能測試開始，這個設(shè)置已經(jīng)完成。
3. 通常，滲透測試工具會報(bào)告某個 API 調(diào)用存在漏洞，但它不會提供有關(guān)用例和/或它所連接的要求的任何上下文。由于我們使用 SOAtest 來執(zhí)行測試用例，因此在用例的上下文中報(bào)告了安全漏洞。當(dāng)場景與需求相關(guān)聯(lián)時，我們現(xiàn)在可以獲得關(guān)于安全錯誤對應(yīng)用程序的影響的附加業(yè)務(wù)上下文。
4. 我們有一個測試場景，可以用來輕松重現(xiàn)錯誤或驗(yàn)證它是否已修復(fù)。

準(zhǔn)備用作安全測試的功能測試

1. 滲透測試工具分析請求/響應(yīng)流量以了解請求中的哪些參數(shù)可供測試。我們需要選擇在每個 API 中執(zhí)行所有參數(shù)的功能測試，以確保 API 的每個輸入都得到分析。
2. 在每個場景中，我們需要決定應(yīng)該對哪些 API 調(diào)用進(jìn)行滲透測試。同一個 API 可能會被多個場景引用，我們不希望在不同場景中測試的 API 上重復(fù)滲透測試。滲透測試工具應(yīng)僅添加到要進(jìn)行滲透測試的 API 的適當(dāng)測試中。
3. 場景數(shù)量需要可控，以便安全測試運(yùn)行時間足夠短，每天至少運(yùn)行一次。

維護(hù)穩(wěn)定的測試環(huán)境

我們的 API 也可能依賴于我們無法控制的其他 API。我們可以考慮使用服務(wù)虛擬化來隔離我們的環(huán)境，這樣我們就不會依賴那些外部系統(tǒng)。這將有助于穩(wěn)定我們的測試，同時防止由于我們的滲透測試工作對外部系統(tǒng)造成意外后果。

結(jié)論