Nova segurança da Checkmarx auxilia o desenvolvedor e AppSec para proteção da API

A Checkmarx, empresa global em soluções de testes de segurança de aplicativos – AST, centradas no desenvolvedor, anuncia a disponibilidade do Checkmarx API Security, solução de segurança de API shift-left. Com base no lançamento do Checkmarx Fusion, que prioriza e correlaciona dados de vulnerabilidades de diferentes mecanismos AppSec, o Checkmarx API Security é fornecido como parte da plataforma de segurança de aplicativos, Checkmarx One. A solução, orientada para o fluxo de trabalho do desenvolvedor, inclui até mesmo APIs ocultas e zumbis como parte da solução mais abrangente de inventário e de remediação disponível, visando proteger todo o ciclo de vida da API.

De acordo com o Gartner, “todo aplicativo móvel conectado, app web moderno ou hospedado em Nuvem usa e expõe APIs. Essas APIs são usadas para acessar os dados e chamar a funcionalidade do app. As APIs são fáceis de expor, mas difíceis de defender. Isso cria uma superfície de ataque grande e crescente, levando a um número maior de ataques e violações de API divulgados. As ferramentas tradicionais de proteção de rede e Web não protegem contra todas as ameaças de segurança enfrentadas pelas APIs, incluindo muitas das descritas no Owasp API Security Top 10.”i

Enquanto outras ofertas de segurança de API só podem descobrir APIs já implementadas em produção, o Checkmarx API Security aborda os problemas de segurança ainda no ciclo de vida de desenvolvimento de software – SDLC.

Essa diferenciação permite visibilidade abrangente de APIs: descobre APIs ocultas e zumbis, com uma visão mais precisa e atualizada de toda a superfície de ataque da API e, conforme a empresa, “verdadeira” abordagem shift-left: detecta APIs no código-fonte do aplicativo para identificar e corrigir problemas logo no SDLC – mais rápido, com menor custo e menor risco.

Além disso, permite a remediação priorizada, que permite que os desenvolvedores e as equipes de AppSec se concentrem na solução dos problemas mais críticos primeiramente, priorizando as vulnerabilidades da API com base em seu impacto e risco reais e visão holística do risco do aplicativo, que verifica aplicativos inteiros a partir de uma única solução, eliminando a necessidade de ferramentas adicionais específicas de API para reduzir a sobrecarga em equipes AppSec já pressionadas.

“O desenvolvimento de aplicativos modernos está cada vez mais dependente de APIs, que são notoriamente difíceis de documentar. Muitas vezes, o único lugar em que a documentação de uma determinada API existe é no laptop do desenvolvedor”, diz o CEO da Checkmarx, Emmanuel Benzaquen. “Os nossos clientes corporativos globais estão se concentrando na transição para o desenvolvimento de aplicativos nativos em nuvem, mas as suas ferramentas só conseguiram resolver parte do desafio da API que o desenvolvimento nativo em nuvem impõe. O objetivo da Checkmarx é proteger todos os componentes de todos os aplicativos de uma maneira que mantenha os desenvolvedores produtivos e simplifique os processos para os líderes de AppSec, possibilitando assim que as suas organizações sejam ágeis, seguras e competitivas.”

Com uma visão única e centrada na API relacionada à questão, Checkmarx API Security oferece descoberta automática de API, com identificação automática de endpoints de API, sem exigir definição ou registro manual de API por equipes ou desenvolvedores de AppSec; inventário completo de API: capacidade de descobrir APIs recém-criadas ou atualizadas à medida que o código-fonte é verificado ou compilado pelos desenvolvedores, desde cedo no SDLC; identificação de API desconhecida: comparação automática do inventário de API completo de um aplicativo, com sua documentação de API para identificar APIs desconhecidas, sombras e zumbis.

E ainda, correção centrada na API: visualizações específicas da API, que permitem que as equipes e desenvolvedores de AppSec priorizem a correção das vulnerabilidades da API e os dez principais riscos do Owasp, e cobertura de todo a aplicação: solução única de teste de segurança de aplicação – AST) para todo o app, que pode incluir componentes baseados ou não em API, oferecendo uma visão holística do risco de segurança e priorização para correção de vulnerabilidades.

O Gartner também relatou que “Os ataques a aplicações estão mudando para se concentrar em APIs, e o ritmo dos ataques está aumentando. Abusos e explorações de API são uma categoria de ataque comum, que pode resultar em violações de dados. As equipes de DevSecOps estão concentrando a sua atenção na necessidade de melhorias no Teste de API em desenvolvimento. Para identificar a abordagem ideal para teste de API, eles estão procurando uma combinação de ferramentas tradicionais (como AST estático [SAST] e AST dinâmico [DAST]) e soluções emergentes focadas especificamente nos requisitos de APIs.”ii

A Checkmarx está constantemente expandindo os limites dos testes de segurança de aplicações (AppSec), para tornar a segurança simples e consistente aos desenvolvedores, globalmente, ao mesmo tempo que dá aos Ciso a confiança e o controle de que precisam. Como empresa de testes AppSec, a Checkmarx fornece a plataforma AST mais abrangente do setor, a Checkmarx One, que fornece aos desenvolvedores e equipes de segurança precisão, cobertura, visibilidade e orientação incomparáveis para a redução de riscos em todos os componentes de softwares modernos – incluindo código proprietário, código aberto, APIs e infraestruturas como código.

____________________
i Gartner®, Hype Cycle™ for Application Security, 2022, Joerg Fritsch, 11 de julho de 2022. GARTNER e HYPE CYCLE são 

marcas registradas e de serviço do Gartner, Inc. e/ou suas afiliadas nos EUA e internacionalmente, e são usadas aqui com permissão.

ii Ibid.