Wallarm(ワラーム)は、スキーマベーステストの一般提供開始により、セキュリティーテストスイートに重要な機能を追加した。この新機能により、API向けの動的アプリケーションセキュリティーテスト(DAST)が統合され、APIテストにおけるシフトレフトアプローチが促進される。また、CI/CDパイプラインやソフトウェア開発ライフサイクル(SDLC)プロセスへのスムーズな統合も可能になる。
スキーマベーステスト機能は、OWASP API Top 10リスク、BOLA(ビジネスオブジェクトライフサイクル分析)やBFLA(ビジネス機能レベルアクセス)などのビジネスロジックの欠陥、インジェクション、RCE(リモートコード実行)、パストラバーサルなどの入力検証の問題に対応するなど、脆弱性のカバレッジを拡大している。また、環境とGraphQLの設定ミスも特定する。この機能でサポートされている入力には、OpenAPI仕様とPostmanコレクションが含まれており、ビジネスロジックシナリオやアクセス制御違反の高度なテストに特に役立つ。
スキーマベーステストは、軽量なDockerベースのエージェントによって容易に実行され、迅速かつ独立した実行を保証する。この機能は、迅速な評価のための1回限りのスキャンと、CI/CDパイプラインに統合された継続的テストの両方をサポートするように設計されている。この柔軟性により、開発ライフサイクルのさまざまな段階に適している。
スキーマベーステストによって生成されたテスト結果は、ローカルですぐに確認できる。また、Wallarmコンソールと同期され、問題の追跡と優先順位付けが可能だ。ユーザーは、リスクレベルのしきい値を設定して、テスト実行を失敗させるタイミングを自動的に判断できる。これにより、セキュリティーチェックを組織のポリシーと整合させることができる。
この機能の詳細については、Wallarmのドキュメントをご覧ください。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
