xAST

API-Testing-Tool für Traceable-Plattform

Die Security-Plattform von Traceable AI umfasst ab sofort auch das Tool xAST, um APIs zu analysieren und transparent zu machen.
Von 
CSO | 31. August 2022 08:14 Uhr
Traceable AI erweitert seine Security-Plattform um das API-Testing-Toolset xAST.
Traceable AI erweitert seine Security-Plattform um das API-Testing-Toolset xAST.
Foto: RR Works - shutterstock.com

Das neue Feature-Set hört auf den Namen xAST und ist nach umfangreichen Beta-Tests mit einigen großen Kunden des Unternehmens ab sofort verfügbar. Es baut auf den bestehenden Sichtbarkeits- und Risikoanalysefunktionen von Traceable AI auf.

Die Idee dahinter ist es, die Auswirkungen potenzieller API-Schwachstellen schon in einem möglichst frühen Stadium des Softwareentwicklungsprozesses zu minimieren. Dazu werden Schnittstellen - sobald sie die Enwticklung durchlaufen haben - aktiv getestet bevor sie in Produktion gehen. Dabei setzt Traceable auf einen "In App"-Ansatz für API Testing - beobachtet also das Verhalten der Software, während sie tatsächlich läuft.

API Observability durch "Distributed Tracking"

Laut Rik Turner, leitender Analyst bei Omdia, sei dieser Ansatz zwar rechenintensiver, könne aber einen besseren Einblick in die Sicherheit beziehungsweise deren Nichtexistenz bieten: "Traceable argumentiert, dass sein Distributed-Tracking-Ansatz zur Beobachtung von APIs ein wesentliches Unterscheidungsmerkmal ist. Es handelt sich dabei nicht nur um eine Form des Tracing, die speziell an Microservice-Architekturen angepasst ist: Traceable kann damit auch jede Anfrage, die das System durchläuft, Ende-zu-Ende beobachten, was zum Beispiel für Performance-Verbesserung genutzt werden kann." Der Analyst ordnet das als "ziemlich bahnbrechende Neuentwicklung" ein.

Weitere Vorteile liegen laut dem Security-Anbieter selbst in der Geschwindigkeit und Integration des Testprozesses - API-Scans mit xAST sollten die "Entwicklungs- und Veröffentlichungsrhythmen" nicht beeinflussen, der Testprozess nicht zu einem Hindernis werden. Das xAST-System:

  • liefert Ergebnisse in Form einer Scan-Zusammenfassung,

  • vergleicht Schwachstellen mit der OWASP-Top-10-Liste

  • sucht nach Datenexposition,

  • Fehlkonfigurationen,

  • Autorisierungsproblemen und

  • bekannten Problemen wie Log4shell.

"Wenn es Traceable gelingt, mehr Kunden in Richtung des In-App-Ansatzes zu bewegen, denke ich, dass sie sich einer beträchtlichen Akzeptanz erfreuen und andere Anbieter dazu zwingen werden, zumindest zu beachten, was sie tun und zu versuchen, es ihnen gleichzutun", meint Turner.

Laut Traceable stehen die xAST-Funktionen derzeit allen Kunden, die den API-Katalog des Unternehmens nutzen, ohne zusätzliche Kosten zur Verfügung. Traceable zieht jedoch in Erwägung, xAST bei entsprechender Nachfrage als eigenständiges Produkt zu vermarkten. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Jon Gold ist Senior Writer bei der US-Schwesterpublikation Network World.