Positive Technologies представила новую версию динамического анализатора приложений, сканера безопасности, работающего методом чёрного ящика, PT BlackBox 2.5.
Самым важным изменением разработчики заявили появление ролевой модели, разграничивающей права доступа пользователей к функциям продукта и возможность сканирования API.
Всё сканирование в PT BlackBox привязано к группе, где есть три роли:
— аудитор, который просматривает проекты и отчёты;
— оператор, может изменять настройки проекта, запускает и останавливает сканирования;
— модератор, который управляет проектами, сканированием и профилями внутри группы.
Все эти изменения вынесены в раздел «Администрирование».
Ещё одно нововедение в PT BlackBox 2.5 — это сканирование API на основе OpenAPI версии 3. Авторизоваться можно с помощью токена для целей сканирования или через куки. Злоумышленники используют уязвимости API как точки входа в периметр корпоративной сети. Сканирование API даёт возможность защитить цепочку взаимодействий пользователя с клиентским приложением.
Олег Халаджиев
Руководитель отдела обеспечения качества продуктов application security в Positive Technologies
«Из‑за повсеместной работы с SPA (single‑page app, одностраничные приложения) и развития парадигмы API‑first проверка API приложений становится, как никогда, актуальной. Недостаточно проверить веб‑интерфейс и найти доступные точки атаки на „внешнем“ бэкенде. Запросы пользователей и потенциальных атакующих могут проходить по цепочке сервисов, и отследить такую атаку классическим методом чёрного ящика становится всё сложнее. Поэтому мы предлагаем разработчикам поучаствовать в проверке своих приложений с помощью корректно и подробно заполненной API схемы. Так мы продолжаем наш трек про то, что безопасная разработка — это несложно».
