Positive Technologies выпустила версию PT BlackBox 2.5
Positive Technologies представила новую версию динамического анализатора приложений, сканера безопасности, работающего методом чёрного ящика PT BlackBox 2.5.
Самым важным изменением разработчики заявили появление ролевой модели, разграничивающей права доступа пользователей к функциям продукта и возможность сканирования API1.
Всё сканирование в PT BlackBox привязаны к группе, где есть три роли:
— аудитор, который просматривает проекты и отчёты;
— оператор, может изменять настройки проекта, запускает и останавливает сканирования;
— модератор, который управляет проектами, сканированием и профилями внутри группы.
Все эти изменения вынесены в раздел «Администрирование».
Ещё одно нововедение в PT BlackBox 2.5 — это сканирование API на основе OpenAPI версии 3. Авторизоваться можно с помощью токена для целей сканирования или через куки. Злоумышленники используют уязвимости API как точки входа в периметр корпоративной сети. Сканирование API даёт возможность защитить цепочку взаимодействий пользователя с клиентским приложением.
Руководитель отдела обеспечения качества продуктов application security в Positive Technologies
«Из‑за повсеместной работы с SPA (single‑page app, одностраничные приложения) и развития парадигмы API‑first проверка API приложений становится, как никогда, актуальной. Недостаточно проверить веб‑интерфейс и найти доступные точки атаки на «внешнем» бэкенде. Запросы пользователей и потенциальных атакующих могут проходить по цепочке сервисов, и отследить такую атаку классическим методом чёрного ящика становится всё сложнее. Поэтому мы предлагаем разработчикам поучаствовать в проверке своих приложений с помощью корректно и подробно заполненной API схемы. Так мы продолжаем наш трек про то, что безопасная разработка — это несложно».