Stackhawk, API belgelerini doğrudan kaynak kodundan oluşturan ve güvenlik ekiplerinin geliştiricilere güvenmeden API test kapsamlarını genişletmelerini güçlendiren güçlü yeni bir yetenek olan LLM güdümlü Openapi özelliklerini yayınladı. Bu otomasyon, güvenlik ekiplerinin test girişimlerinin sahipliğini almasını sağlarken daha hızlı, daha doğru güvenlik açığı taraması sunar.
Bu yeni özellik ile Stackhawk, kaynak kodu depolarını analiz eder, API detaylarını homegrown LLM’leri kullanarak çıkarır ve otomatik olarak doğru Openapi özellikleri üretir. Mevcut API uç noktalarını ve işlevselliğini tanımlayan kritik metin dosyaları olan bu özellikler, API’leri güvenlik açıkları için akıllıca taramak için APPSEC ekipleri tarafından kaldırılabilir.
Stackhawk’taki kurucu ortağı ve STK Scott Gerlach, “AppSec ekiplerinin API’larını test etmeye başlamak için OpenAPI özelliklerine ihtiyacı var, ancak geleneksel olarak geliştiricilere manuel olarak yazmaya ve sürdürmelerine bağlı, bu da büyük bir darboğaz olabilir” dedi. “Bu teknik özellikleri doğrudan kaynak kodundan otomatik olarak oluşturarak, güvenlik ekiplerini sürücü koltuğuna koyuyoruz, aynı zamanda API’leri tanımlama ve test etme yeteneği veriyoruz ve aynı anda manuel işi geliştiricilerin plakalarından çıkarıyor.”
API’ler artık modern uygulamalarda baskın saldırı yüzeyidir ve dinamik testler, gerçek, sömürülebilir güvenlik açıklarını bulmanın en etkili yollarından biridir. Statik tarama veya çevre savunmalarından farklı olarak, Stackhawk gibi modern Dast araçları, kırık kimlik doğrulaması, aşırı veri maruziyeti ve uygunsuz hata işleme gibi sorunları ortaya çıkarmak için çalışan hizmetlere karşı gerçek dünya saldırılarını simüle eder.
Ancak doğru belgeler olmadan bu testler başlayamaz ve uygulama yığınının kritik kısımlarını korumasız bırakır. Yakın tarihli bir Stackhawk müşteri araştırması, kullanıcıların% 85’inin API’leri test etmede büyük bir engel olarak OpenAPI özellikleri eksikliğini belirttiğini ortaya koydu. Eski sistemler, edinilmiş kod tabanları ve belgesiz gölge API’lerinin tümü uygulama güvenliğinde önemli kör noktalara katkıda bulunur. Gerekli teknik özellikleri manuel olarak oluşturmak zaman alıcıdır ve çoğu zaman depricattır, APPSEC ekiplerini genellikle ince gerilmiş mühendislik kaynaklarını beklemeye bırakır.
Etkinlikten yoksun olan veya standart olmayan yollarla dağıtılan uç noktaları kaçıran API davranışını çıkarmak için üretim ağı trafiğine dayanan eski araçların aksine, Stackhawk’ın yeni özelliği, kod tabanı değiştikçe doğrudan koddan ve sürekli güncellemelerden çeker. Bu, genellikle konitılmamış veya açılmamış olan düşük trafikli veya hareketsiz API’ler için daha hızlı kurulum ve yerleşik, daha kapsamlı test kapsamı ve koruma sağlar.
Stackhawk’ın Otomatik Özellik Üretiminin Temel Avantajları:
- Test Etme: Belgesiz API’ler için güvenlik taramalarını engeller
- Daha fazla yüzey bulur: Gölge API’lerini ve gizli uç noktaları yakalar
- Mühendislik yükünü azaltır: Geliştiricilerin spesifikasyonları manuel olarak yazmasına gerek yok
- Scales AppSec: Takımları yavaşlatmadan güvenlik kapsamını genişletir
“Olağanüstü çalışıyor – beklenenden daha iyi,” dedi Community America Credit Union’da InfoSec lider. “Sıfır yanlış pozitifler ve daha hızlı taramalarla mevcut özelliklerimizden daha doğru sonuçlar alıyoruz.”