Parasoft是构建高质量软件的最佳解决方案。从开发到质量检查，Parasoft的技术通过集成静态和运行时分析，单元、功能和API测试，以及服务虚拟化，在不牺牲质量和安全性的情况下加快软件交付，节约交付成本。

>>如果您想使用Parasoft测试是否满足项目要求，可联系客服

讨论 API 安全性以及为什么我们应该关心它有点像谈论吃我们的蔬菜。我们都知道吃蔬菜对我们的健康有益，但我们有多少人真正做到了呢？应用程序安全性有点像这样。虽然它对我们的应用程序和我们的业务的健康至关重要，但为它而努力并不像构建酷炫的新应用程序功能那么有趣。但我们只需要看看最近的新闻标题就可以了解它的重要性。

传统上，验证应用程序或 API 的安全性是在开发过程结束时完成的。不过，这本质上是有问题的。修复发现的错误通常为时已晚：可能离发布日期太近而无法修复问题，或者团队可能已经转移到其他项目，或者应用程序的架构可能天生不安全。

此外，今天的服务和应用程序比以往任何时候都更频繁地发布，通常一天发布多次。这种快速发布的节奏使得传统方法站不住脚。

由于渗透测试成本高昂且需要很长时间才能运行，因此必须以可扩展和可持续的方式执行API 安全测试。

进入持续集成

通过将渗透测试引入Parasoft的 CI 工作流程，将相同的解决方案应用于 API 的自动化安全测试。这将确保更快地测试安全漏洞，并且它将提供安全回归测试，可以在新问题出现时立即捕获它们。但是需要对此保持谨慎，因为渗透测试成本高昂，并且可能需要很长时间才能运行。必须以可扩展和可持续的方式来做到这一点。

从功能测试开始

首先，让我们假设我们有一个 SOAtest 场景，其中包含 1 个清理数据库的设置测试和 3 个进行 3 个不同 API 调用的测试。我们希望对场景中正在调用的 3 个 API 中的每一个执行渗透测试：

我们将首先通过向场景中的每个测试添加渗透测试工具来准备安全场景：

然后我们将使用 SOAtest 执行这个场景。随着每个测试的执行，SOAtest 将进行测试中定义的 API 调用并捕获请求和响应流量。每次测试中的渗透测试工具都会将流量数据传递给 OWASP ZAP 渗透测试工具的嵌入式实例，该工具将根据它在流量数据中观察到的 API 参数，使用自己的启发式方法对 API 执行渗透测试。

然后，渗透测试工具将报告发现的与访问 API 的测试相关的任何错误。这是一个示例 SOAtest 报告，其中包含按 CWE 和严重性组织的所有错误：

SOAtest 结果可以进一步报告到 DTP，Parasoft 的报告和分析仪表板，以获得额外的报告功能。这是其工作原理的表示：

重新利用功能测试作为安全测试有以下好处：

1. 由于我们已经在编写功能测试，我们可以重用已经完成的工作，节省时间和精力。
2. 要执行某些 API，我们可能需要进行一些设置，例如准备数据库或调用其他 API。如果我们从已经工作的功能测试开始，这个设置已经完成。
3. 通常，渗透测试工具会报告某个 API 调用存在漏洞，但它不会提供有关用例和/或它所连接的要求的任何上下文。由于我们使用 SOAtest 来执行测试用例，因此在用例的上下文中报告了安全漏洞。当场景与需求相关联时，我们现在可以获得关于安全错误对应用程序的影响的附加业务上下文。
4. 我们有一个测试场景，可以用来轻松重现错误或验证它是否已修复。

准备用作安全测试的功能测试

1. 渗透测试工具分析请求/响应流量以了解请求中的哪些参数可供测试。我们需要选择在每个 API 中执行所有参数的功能测试，以确保 API 的每个输入都得到分析。
2. 在每个场景中，我们需要决定应该对哪些 API 调用进行渗透测试。同一个 API 可能会被多个场景引用，我们不希望在不同场景中测试的 API 上重复渗透测试。渗透测试工具应仅添加到要进行渗透测试的 API 的适当测试中。
3. 场景数量需要可控，以便安全测试运行时间足够短，每天至少运行一次。

维护稳定的测试环境

我们的 API 也可能依赖于我们无法控制的其他 API。我们可以考虑使用服务虚拟化来隔离我们的环境，这样我们就不会依赖那些外部系统。这将有助于稳定我们的测试，同时防止由于我们的渗透测试工作对外部系统造成意外后果。

结论