Visão geral das integrações de testes de segurança da API (visualização)
O Microsoft Defender for Cloud oferece suporte a ferramentas de parceiros para ajudar a aprimorar os recursos de segurança de tempo de execução existentes fornecidos pelo Defender for APIs. O Defender for Cloud oferece suporte a recursos proativos de teste de segurança de API nos estágios iniciais do ciclo de vida de desenvolvimento (incluindo repositórios de código-fonte e pipelines de CI/CD).
O suporte para soluções de parceiros ajuda a simplificar, integrar e orquestrar ainda mais as descobertas de segurança de soluções de parceiros com o Microsoft Defender for Cloud. Esse suporte permite a segurança da API durante todo o ciclo de vida e a capacidade de as equipes de segurança descobrirem e corrigirem efetivamente as vulnerabilidades de segurança da API antes que elas sejam implantadas na produção.
Os resultados da verificação de segurança de aplicativos parceiros estão disponíveis no Defender for Cloud. A capacidade de visualizar os resultados no Defender for Cloud garante que as equipes centrais de segurança tenham visibilidade sobre a integridade das APIs dentro da experiência de recomendação do Defender for Cloud. Essas equipes de segurança agora podem executar etapas de governança que estão disponíveis nativamente por meio das recomendações do Defender for Cloud e extensibilidade para exportar resultados de verificação do Gráfico de Recursos do Azure para ferramentas de gerenciamento de sua escolha.
Pré-requisitos
Esse recurso requer um conector DevOps no Defender for Cloud. Veja como integrar ambientes de DevOps integrados.
| Aspeto | Detalhes |
|---|---|
| Estado de liberação | Previsualizar Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral. |
| Requisitos ambientais obrigatórios/preferidos | APIs dentro do repositório de código-fonte, incluindo arquivos de especificação de API, como OpenAPI, Swagger. |
| Nuvens | Disponível em nuvens comerciais. Não disponível em nuvens nacionais/soberanas (Azure Government, Microsoft Azure operado pela 21Vianet). |
| Sistemas de gestão de código-fonte | GitHub Enterprise Cloud. Isso também requer uma licença para o GitHub Advanced Security (GHAS). Serviços de DevOps do Azure |
Aplicações suportadas
| Logótipo | Nome do parceiro | Description | Guia de habilitação |
|---|---|---|---|
|
Guia de integração 42Crunch | Os desenvolvedores podem testar e fortalecer APIs proativamente em seus pipelines de CI/CD por meio de testes estáticos e dinâmicos de APIs em relação aos principais riscos de API OWASP e às práticas recomendadas de especificação OpenAPI. | Guia de integração técnica 42Crunch |
|
StackHawk | O StackHawk é a única ferramenta moderna de teste de segurança de DAST e API que é executada em CI/CD, permitindo que os desenvolvedores encontrem e corrijam rapidamente problemas de segurança antes que eles cheguem à produção. | Guia de integração do StackHawk |
|
Segurança brilhante | A plataforma DAST centrada no desenvolvimento da Bright Security capacita desenvolvedores e profissionais do AppSec com recursos de teste de segurança de nível empresarial para aplicativos Web, APIs e aplicativos GenAI e LLM. A Bright sabe como entregar os testes certos, no momento certo no SDLC, em desenvolvedores e ferramentas AppSec e pilhas de escolha com o mínimo de falsos positivos e fadiga de alerta. | Guia de integração do Bright Security |