Die branchenweit erste Shift-Left-API-Security-Lösung identifiziert auch Shadow APIs und Zombie APIs, bietet Development- und AppSec-Teams ein umfassendes API Inventory und ermöglicht eine priorisierte Behebung von API-Schwachstellen
FRANKFURT AM MAIN – 11. August 2022 – Checkmarx, einer der weltweit führenden Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, gibt den Launch von Checkmarx API Security, der branchenweit ersten Shift-Left-API-Security-Lösung, bekannt. Wie die kürzlich vorgestellte Lösung Checkmarx Fusion, die Daten zu Schwachstellen Engine-übergreifend priorisiert und korreliert, wird auch Checkmarx API Security als Teil der branchenführenden AppSec-Plattform Checkmarx One bereitgestellt. Die am Workflow der Entwickler orientierte Lösung unterstützt Unternehmen mit einem umfassenden Inventory, inklusive Shadow APIs und Zombie APIs, dabei, Schwachstellen zu beheben und die Sicherheit entlang des gesamten API Lifecycle zu verbessern.
Laut Gartner® “nutzt jede vernetze Mobile-, moderne Web- oder Cloud-App APIs und stellt diese bereit. Diese APIs werden verwendet, um auf Daten zuzugreifen und Anwendungsfunktionen aufzurufen. APIs lassen sich leicht bereitstellen, aber schwer schützen. Mit der ohnehin breiten Angriffsfläche wächst so auch die Zahl öffentlich bekannt gewordener API-bezogener Angriffe und Breaches. Herkömmliche Network- und Web-Protection-Tools schützen nicht vor allen API-Bedrohungen, darunter viele, die in den OWASP API Security Top 10 beschrieben sind.”*
Während andere API-Security-Lösungen nur bereits in der Produktivumgebung bereitgestellte APIs erkennen können, setzt Checkmarx API Security früher im SDLC an. Kunden profitieren dadurch von:
- … umfassender Transparenz: Identifiziert Shadow APIs und Zombie APIs und bietet einen detaillierten und aktuellen Überblick über die gesamte API-Angriffsfläche<\/li><\/ul>
- … einem echten Shift-Left-Ansatz: Erkennt APIs im Anwendungs-Quellcode, sodass sich Probleme früher im SDLC identifizieren und beheben lassen – schneller, kostengünstiger und mit geringerem Risiko<\/li><\/ul>
- … Priorisierung: Priorisiert API-Schwachstellen auf der Grundlage ihrer tatsächlichen Auswirkungen und Risiken, sodass Entwickler und AppSec-Teams die kritischsten Probleme zuerst adressieren können<\/li><\/ul>
- … einer ganzheitlichen Sicht auf das Anwendungsrisiko: Scannt ganze Anwendungen mit einer einzigen Lösung, macht zusätzliche API-spezifische Tools überflüssig und entlastet AppSec-Teams<\/li><\/ul>
“Die moderne Anwendungsentwicklung greift zunehmend auf APIs zurück – und die sind bekanntlich schwer zu dokumentieren. In vielen Fällen findet sich die API-Dokumentation nur auf dem Laptop des Entwicklers”, so Emmanuel Benzaquen, CEO von Checkmarx. “Unsere Kunden weltweit satteln auf Cloud-native Anwendungsentwicklung um. Ihre Tools konnten bis dato jedoch nur einen Teil der API-Herausforderungen abdecken, die die Cloud-native Entwicklung mit sich bringt. Das Ziel von Checkmarx ist es, jede Komponente einer Anwendung zu schützen, Entwickler zu entlasten und die Prozesse für AppSec-Verantwortliche zu vereinfachen, sodass Unternehmen agil, sicher und wettbewerbsfähig bleiben.”
- Automatische API-Erkennung: Automatische Identifizierung von API Endpoints, ohne manuelle API-Definition oder -Registrierung durch AppSec-Teams oder Entwickler<\/li><\/ul>
- Vollständiges API Inventory: Erkennung neu erstellter oder aktualisierter APIs während Entwickler den Quellcode einchecken oder kompilieren – so früh wie möglich im SDLC<\/li><\/ul>
- Identifizierung unbekannter APIs: Automatischer Abgleich des vollständigen API Inventory einer Anwendung mit ihrer API-Dokumentation, um unbekannte APIs, Shadow APIs und Zombie APIs zu identifizieren<\/li><\/ul>
- API-zentrierte Behebung von Schwachstellen: API-spezifische Ansichten, die es AppSec-Teams und Entwicklern ermöglichen, die Behebung von API-Schwachstellen und OWASP Top 10 Risiken zu priorisieren<\/li><\/ul>
- Vollständige Abdeckung der Anwendung: Eine einzige Application-Security-Testing-Lösung für die gesamte Anwendung, die sowohl API-basierte als auch nicht API-basierte Komponenten umfassen kann, bietet eine ganzheitliche Sicht auf das Sicherheitsrisiko sowie eine priorisierte Behebung von Schwachstellen.<\/li><\/ul>
Gartner kommt außerdem zu dem Schluss, dass “Angriffe auf Anwendungen sich zunehmend auf APIs konzentrieren und die Geschwindigkeit der Angriffe zunimmt. APIs sind beliebte Angriffsvektoren, über die Daten exfiltriert werden können. DevSecOps-Teams haben den Bedarf an verbessertem API Testing in der Entwicklung erkannt und setzen bei der Suche nach dem optimalen API-Testing-Ansatz auf einen Mix aus traditionellen Tools (wie etwa statischem Application Security Testing und dynamischem Application Security Testing) und neuen Lösungen, die speziell auf die Anforderungen von APIs zugeschnitten sind.”**
Checkmarx API Security ist ab sofort verfügbar. Interessierte Leser, die mehr über Checkmarx API Security erfahren möchten, finden hier weiterführende Informationen.
* Gartner®, Hype Cycle™ for Application Security, 2022, Jörg Fritsch, 11. Juli 2022. GARTNER und HYPE CYCLE sind eingetragene Marken und Dienstleistungsmarken von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und werden hier mit Genehmigung verwendet.
Checkmarx setzt im Application Security Testing immer neue Maßstäbe, um Security für Entwickler auf der ganzen Welt einfach und intuitiv zu halten und CISOs das notwendige Vertrauen und die richtigen Werkzeuge an die Hand zu geben. Als Marktführer im Bereich AppSec-Testing bieten wir mit Checkmarx One die branchenweit umfassendste AST-Plattform, die Developern und Security-Teams höchste Zuverlässigkeit, einen breiten Leistungsumfang, lückenlose Transparenz und handlungsrelevante Hinweise für die Behebung gefährlicher Schwachstellen in allen Komponenten moderner Software liefert – sowohl im eigenen Code als auch in Open Source, APIs und Infrastructure-as-Code. Mehr als 1.800 Kunden, darunter die Hälfte der Fortune 50, verlassen sich auf unsere Security-Technologie, unsere Security Research und unsere globalen Services, um sicher, schnell und skaliert zu entwickeln. Für mehr Informationen besuchen Sie unsere Website, lesen unseren Blog oder folgen uns auf LinkedIn.
- Vollständige Abdeckung der Anwendung: Eine einzige Application-Security-Testing-Lösung für die gesamte Anwendung, die sowohl API-basierte als auch nicht API-basierte Komponenten umfassen kann, bietet eine ganzheitliche Sicht auf das Sicherheitsrisiko sowie eine priorisierte Behebung von Schwachstellen.<\/li><\/ul>
- API-zentrierte Behebung von Schwachstellen: API-spezifische Ansichten, die es AppSec-Teams und Entwicklern ermöglichen, die Behebung von API-Schwachstellen und OWASP Top 10 Risiken zu priorisieren<\/li><\/ul>
- Identifizierung unbekannter APIs: Automatischer Abgleich des vollständigen API Inventory einer Anwendung mit ihrer API-Dokumentation, um unbekannte APIs, Shadow APIs und Zombie APIs zu identifizieren<\/li><\/ul>
- Vollständiges API Inventory: Erkennung neu erstellter oder aktualisierter APIs während Entwickler den Quellcode einchecken oder kompilieren – so früh wie möglich im SDLC<\/li><\/ul>
- Automatische API-Erkennung: Automatische Identifizierung von API Endpoints, ohne manuelle API-Definition oder -Registrierung durch AppSec-Teams oder Entwickler<\/li><\/ul>
- … einer ganzheitlichen Sicht auf das Anwendungsrisiko: Scannt ganze Anwendungen mit einer einzigen Lösung, macht zusätzliche API-spezifische Tools überflüssig und entlastet AppSec-Teams<\/li><\/ul>
- … Priorisierung: Priorisiert API-Schwachstellen auf der Grundlage ihrer tatsächlichen Auswirkungen und Risiken, sodass Entwickler und AppSec-Teams die kritischsten Probleme zuerst adressieren können<\/li><\/ul>
- … einem echten Shift-Left-Ansatz: Erkennt APIs im Anwendungs-Quellcode, sodass sich Probleme früher im SDLC identifizieren und beheben lassen – schneller, kostengünstiger und mit geringerem Risiko<\/li><\/ul>