Panoramica delle integrazioni dei test di sicurezza dell'API (anteprima)
Microsoft Defender per il cloud supporta gli strumenti partner per migliorare le funzionalità di sicurezza di runtime esistenti fornite da Defender per le API. Defender per il cloud supporta funzionalità di test proattivi della sicurezza delle API nelle prime fasi del ciclo di vita di sviluppo (inclusi i repository di codice sorgente e le pipeline CI/CD).
Il supporto per le soluzioni dei partner consente di semplificare, integrare e orchestrare ulteriormente i risultati della sicurezza dalle soluzioni partner con Microsoft Defender per il cloud. Questo supporto consente la sicurezza completa dell'API del ciclo di vita e la possibilità per i team di sicurezza di individuare e correggere efficacemente le vulnerabilità di sicurezza delle API prima che vengano distribuite nell'ambiente di produzione.
I risultati dell'analisi della sicurezza delle applicazioni partner sono disponibili all'interno di Defender per il cloud. La possibilità di visualizzare i risultati in Defender per il cloud garantisce che i team di sicurezza centrale abbiano visibilità sull'integrità delle API all'interno dell'esperienza di raccomandazione Defender per il cloud. Questi team di sicurezza possono ora eseguire passaggi di governance disponibili in modo nativo tramite raccomandazioni Defender per il cloud ed estendibilità per esportare i risultati dell'analisi da Azure Resource Graph negli strumenti di gestione di propria scelta.
Prerequisiti
Questa funzionalità richiede un connettore DevOps in Defender per il cloud. Vedere come eseguire l'onboarding degli ambienti DevOps.
| Aspetto | Dettagli |
|---|---|
| Stato della versione | Anteprima Le condizioni aggiuntive per l'anteprima di Azure includono altri termini legali che si applicano a funzionalità di Azure in versione beta, anteprima o altrimenti non ancora disponibili a livello generale. |
| Requisiti ambientali obbligatori/preferiti | API all'interno del repository del codice sorgente, inclusi i file di specifica dell'API, ad esempio OpenAPI, Swagger. |
| Cloud | Disponibile nei cloud commerciali. Non disponibile nei cloud nazionali/sovrani (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet). |
| Sistemi di gestione del codice sorgente | GitHub Enterprise Cloud. Questo richiede anche una licenza per GitHub Advanced Security (GHAS). Servizi di Azure DevOps |
Applicazioni supportate
| Logo | Nome partner | Descrizione | Guida all'abilitazione |
|---|---|---|---|
|
42 Guida all'onboarding diCrunch | Gli sviluppatori possono testare e rafforzare in modo proattivo le API all'interno delle pipeline CI/CD tramite test statici e dinamici delle API rispetto ai principali rischi dell'API OWASP e alle procedure consigliate per le specifiche OpenAPI. | 42 Guida tecnica all'onboarding tecnico |
|
StackHawk | StackHawk è l'unico strumento moderno di test di sicurezza delle API e DAST eseguito in CI/CD, consentendo agli sviluppatori di trovare e risolvere rapidamente i problemi di sicurezza prima di raggiungere la produzione. | Guida all'onboarding di StackHawk |
|
Sicurezza brillante | La piattaforma DAST incentrata sullo sviluppo di Bright Security offre agli sviluppatori e ai professionisti AppSec funzionalità di test di sicurezza di livello aziendale per applicazioni Web, API e Applicazioni GenAI e LLM. Bright sa come fornire i test corretti, al momento giusto in SDLC, negli sviluppatori e negli strumenti AppSec e stack di scelta con minimi falsi positivi e affaticamento degli avvisi. | Guida all'onboarding di Bright Security |