Der Spezialist für entwickler-zentriertes Application-Security-Testing, Checkmarx, gibt den Launch von Checkmarx-API-Security, der branchenweit ersten Shift-Left-API-Security-Lösung, bekannt. Wie die kürzlich vorgestellte Lösung Checkmarx-Fusion, die Daten zu Schwachstellen Engine-übergreifend priorisiert und korreliert, wird auch Checkmarx-API-Security als Teil der branchenführenden AppSec-Plattform „Checkmarx One“ bereitgestellt. Die am Workflow der Entwickler orientierte Lösung unterstützt Unternehmen mit einem umfassenden Inventory, inklusive Shadow-APIs und Zombie-APIs, dabei, Schwachstellen zu beheben und die Sicherheit entlang des gesamten API-Lifecycle zu verbessern.
Laut Gartner „nutzt jede vernetze Mobile-, moderne Web- oder Cloud-App APIs und stellt diese bereit. Diese APIs werden verwendet, um auf Daten zuzugreifen und Anwendungsfunktionen aufzurufen. APIs lassen sich leicht bereitstellen, aber schwer schützen. Mit der ohnehin breiten Angriffsfläche wächst so auch die Zahl öffentlich bekannt gewordener API-bezogener Angriffe und Breaches. Herkömmliche Network- und Web-Protection-Tools schützen nicht vor allen API-Bedrohungen, darunter viele, die in den OWASP-API-Security Top 10 beschrieben sind.“
Während andere API-Security-Lösungen nur bereits in der Produktivumgebung bereitgestellte APIs erkennen können, setzt Checkmarx-API-Security früher im SDLC an. Kunden profitieren dadurch von:
- … umfassender Transparenz: Identifiziert Shadow-APIs und Zombie-APIs und bietet einen detaillierten und aktuellen Überblick über die gesamte API-Angriffsfläche;
- … einem echten Shift-Left-Ansatz: Erkennt APIs im Anwendungs-Quellcode, sodass sich Probleme früher im SDLC identifizieren und beheben lassen – schneller, kostengünstiger und mit geringerem Risiko;
- … Priorisierung: Priorisiert API-Schwachstellen auf der Grundlage ihrer tatsächlichen Auswirkungen und Risiken, sodass Entwickler und AppSec-Teams die kritischsten Probleme zuerst adressieren können;
- … einer ganzheitlichen Sicht auf das Anwendungsrisiko: Scannt ganze Anwendungen mit einer einzigen Lösung, macht zusätzliche API-spezifische Tools überflüssig und entlastet AppSec-Teams.
„Die moderne Anwendungsentwicklung greift zunehmend auf APIs zurück – und die sind bekanntlich schwer zu dokumentieren. In vielen Fällen findet sich die API-Dokumentation nur auf dem Laptop des Entwicklers“, so Emmanuel Benzaquen, CEO von Checkmarx. „Unsere Kunden weltweit satteln auf Cloud-native Anwendungsentwicklung um. Ihre Tools konnten bis dato jedoch nur einen Teil der API-Herausforderungen abdecken, die die Cloud-native Entwicklung mit sich bringt. Das Ziel von Checkmarx ist es, jede Komponente einer Anwendung zu schützen, Entwickler zu entlasten und die Prozesse für AppSec-Verantwortliche zu vereinfachen, sodass Unternehmen agil, sicher und wettbewerbsfähig bleiben.“
Der API-zentrierte Ansatz von Checkmarx-API-Security bietet:
- Automatische API-Erkennung: Automatische Identifizierung von API-Endpoints, ohne manuelle API-Definition oder -Registrierung durch AppSec-Teams oder Entwickler.
- Vollständiges API-Inventory: Erkennung neu erstellter oder aktualisierter APIs während Entwickler den Quellcode einchecken oder kompilieren – so früh wie möglich im SDLC.
- Identifizierung unbekannter APIs: Automatischer Abgleich des vollständigen API-Inventory einer Anwendung mit ihrer API-Dokumentation, um unbekannte APIs, Shadow-APIs und Zombie-APIs zu identifizieren.
- API-zentrierte Behebung von Schwachstellen: API-spezifische Ansichten, die es AppSec-Teams und Entwicklern ermöglichen, die Behebung von API-Schwachstellen und OWASP Top 10 Risiken zu priorisieren.
- Vollständige Abdeckung der Anwendung: Eine einzige Application-Security-Testing-Lösung für die gesamte Anwendung, die sowohl API-basierte als auch nicht API-basierte Komponenten umfassen kann, bietet eine ganzheitliche Sicht auf das Sicherheitsrisiko sowie eine priorisierte Behebung von Schwachstellen.
Gartner kommt außerdem zu dem Schluss, dass „Angriffe auf Anwendungen sich zunehmend auf APIs konzentrieren und die Geschwindigkeit der Angriffe zunimmt. APIs sind beliebte Angriffsvektoren, über die Daten exfiltriert werden können. DevSecOps-Teams haben den Bedarf an verbessertem API-Testing in der Entwicklung erkannt und setzen bei der Suche nach dem optimalen API-Testing-Ansatz auf einen Mix aus traditionellen Tools (wie etwa statischem Application-Security-Testing und dynamischem Application-Security-Testing) und neuen Lösungen, die speziell auf die Anforderungen von APIs zugeschnitten sind.“
#Checkmarx
