A segurança da API pode ser totalmente resolvida no desenvolvimento?

As equipes de segurança e DevOps trabalham juntas em iniciativas que abrangem treinamento de desenvolvedor, maior conscientização sobre segurança, tecnologias adicionais de verificação de código, esforços de teste de penetração e programas de recompensa de bugs. No entanto, quando se trata de APIs, como na maioria das áreas de desenvolvimento de aplicativos, melhorar a segurança durante a construção e a implantação inicial pode não fornecer a resposta completa. A segurança no modo de produção ou tempo de execução ainda é essencial. É inevitável que lacunas e vulnerabilidades cheguem aos ambientes de produção, não importa quanto esforço seja colocado na segurança durante as fases de construção e implantação.

Há vários desafios que impedem as brechas de segurança nesses estágios iniciais do desenvolvimento:

APLICATIVOS COMPLEXOS E EM CONSTANTE MUDANÇA

Os aplicativos baseados em API são completos, possuem uma lógica única com vulnerabilidades exclusivas. Além disso, estão sujeitos às constantes mudanças graças às práticas de desenvolvimento ágil, como CI / CD. Na velocidade de desenvolvimento de hoje, nenhum teste de segurança na fase de construção pode capturar 100% das lacunas de codificação e vulnerabilidades.

VARREDURA DE CÓDIGO

A maioria dos mecanismos de segurança aplicados no desenvolvimento giram em torno da varredura de código. As ferramentas de digitalização ajudam em certas áreas, mas ficam aquém de fornecer segurança total. Sua grande deficiência das é a dependência de assinaturas e configuração. Além disso, geralmente são implantadas de maneira limitada, com foco apenas nos aplicativos primários e estão desatualizadas, a configuração nunca é perfeita e você não cobrirá todos os seus aplicativos com a digitalização. Já os testes de penetração e recompensas de bugs oferecem cobertura apenas parcial

As equipes de DevOps dedicam tempo e esforço significativos para identificar e eliminar lacunas no início do ciclo de desenvolvimento, antes de lançar APIs em produção. Em um determinado ponto, porém, gastar mais tempo identificando, priorizando e corrigindo lacunas de segurança na pré-produção atrapalha as práticas de desenvolvimento de aplicativos rápidos. Além disso, muitas lacunas não aparecem até que estejam em produção. As organizações têm sucesso quando combinam esforços de segurança em todo o ciclo de vida do lançamento para incluir pré-produção, tempo de execução e pós-produção.

 

Nossos clientes se beneficiam da proteção em tempo de execução para identificar e interromper os invasores no início do reconhecimento, enquanto eles tentam descobrir e explorar vulnerabilidades zero-day. Além disso, os detalhes dos esforços de reconhecimento de um invasor fornecem insights de correção inestimáveis para as equipes de desenvolvimento para eliminar as lacunas na pós-produção. Basicamente, usando invasores como testadores de penetração, os desenvolvedores entendem claramente o que é vulnerável na API e como eliminar a lacuna. Como resultado, as equipes de desenvolvimento podem priorizar mais facilmente seus esforços de correção, ser mais eficientes em sua correção e melhorar os fluxos de trabalho. Os insights de remediação também melhoram as práticas de desenvolvimento seguras para que os desenvolvedores liberem códigos com menos lacunas e vulnerabilidades no futuro. Fonte: https://salt.security/blog/can-api-security-be-wholly-solved-in-development