[01/09/2022] Traceable AI ha anunciado la disponibilidad general de xAST, una solución de pruebas de seguridad de API, como parte de su plataforma de seguridad de API. El nuevo conjunto de funciones, tras una extensa prueba beta con algunos de los clientes más importantes de la empresa, está disponible para su uso inmediato, y se basa en las funciones existentes de visibilidad y análisis de riesgos de Traceable.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La idea es reducir el impacto de las posibles vulnerabilidades de las API en una fase temprana del proceso de desarrollo de software, facilitando la comprobación activa de una API que ha pasado por el proceso de desarrollo, pero antes de entrar en producción. Traceable utiliza un enfoque "in-app" para las pruebas de API, lo que significa que observa el comportamiento del software mientras se ejecuta realmente, a diferencia del modelo "contractual", que se limita a analizar qué comportamientos debe mostrar una API.
Enfoque de "seguimiento distribuido" de la observabilidad de la API
Según el analista principal de Omdia, Rik Turner, este enfoque es más intensivo desde el punto de vista computacional, pero podría proporcionar una mejor ventana a la seguridad o a la falta de ella de un determinado software. "En particular, Traceable argumenta que su enfoque de 'seguimiento distribuido' de la observabilidad de la API es un diferenciador clave", anotó. "No solo es una forma de rastreo especialmente adaptada a las arquitecturas de microservicios, sino que permite a Traceable observar cada solicitud que viaja a través del sistema desde su inicio hasta su final, y puede utilizarse para mejorar el rendimiento y comprender cómo es el comportamiento típico".
Otro beneficio clave, según Traceable, es la velocidad y la integración del proceso de pruebas: el escaneo de la API utilizando xAST no debería cambiar las "cadencias de desarrollo y lanzamiento", anotó la compañía, lo que debería ayudar a que el proceso de pruebas no sea un obstáculo.
El sistema xAST proporciona resultados en forma de resumen del escaneo, comparando las vulnerabilidades con la lista de las 10 principales de OWASP, buscando la exposición de datos, las configuraciones erróneas, los problemas de autorización y los problemas conocidos como Log4shell. Se trata de una novedad bastante innovadora, según Turner, que afirma que Traceable está "definitivamente en algo".
"Inicialmente salieron al mercado solo con el enfoque de la observabilidad dentro de la aplicación, que siguen sosteniendo que es superior, pero desde entonces han rellenado con la observación fuera de banda a instancias de los principales clientes", sostuvo Turner. "Aun así, si consiguen empujar a más clientes hacia el enfoque in-app, creo que disfrutarán de una considerable aceptación y obligarán a otros proveedores a prestar atención, al menos, a lo que están haciendo y a tratar de emularlos".
Según Traceable, las funciones de xAST están disponibles actualmente para cualquier cliente de Traceable que utilice el catálogo de APIs de la empresa, sin costo adicional, aunque la empresa está estudiando la posibilidad de comercializarlo como producto independiente si se considera que la demanda es suficiente.
Basado en el artículo de Jon Gold (CSO) y editado por CIO Perú