Applications partenaires dans Microsoft Defender pour le cloud pour les tests de sécurité des API (préversion)
Microsoft Defender pour le cloud prend en charge des outils de tiers pour améliorer les fonctionnalités de sécurité d’exécution existantes fournies par Defender pour les API. Defender pour le cloud prend en charge les fonctionnalités de test proactif de la sécurité des API dans les premières phases du cycle de vie du développement (y compris les référentiels de code source et les pipelines CI/CD).
Vue d’ensemble
La prise en charge des solutions de tiers permet de simplifier, d’intégrer et d’orchestrer les découvertes en matière de sécurité provenant de solutions de partenaires avec Microsoft Defender pour le cloud. Cette prise en charge permet la sécurité complète des API de cycle de vie, et la possibilité pour les équipes de sécurité de détecter et de corriger efficacement les vulnérabilités de sécurité des API avant leur déploiement en production.
Les résultats de l’analyse de sécurité des applications partenaires sont désormais disponibles dans Defender pour le cloud, ce qui garantit que les équipes de sécurité centrales ont une visibilité sur l’intégrité des API au sein de l’expérience de recommandation de Defender pour le cloud. Ces équipes de sécurité peuvent désormais prendre des mesures de gouvernance qui sont disponibles nativement via les recommandations de Defender pour le cloud, et bénéficier de l’extensibilité pour exporter les résultats d’analyse depuis Azure Resource Graph dans des outils de gestion de leur choix.
Prérequis
Cette fonctionnalité nécessite un connecteur GitHub dans Defender pour le cloud. Consultez Comment intégrer vos organisations GitHub.
| Aspect | Détails |
|---|---|
| État de publication | PRÉVERSION Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale. |
| Exigences environnementales obligatoires/préférées | API dans le dépôt de code source, y compris des fichiers de spécification d’API comme OpenAPI et Swagger. |
| Clouds | Disponible dans les clouds commerciaux. Non disponible dans les clouds nationaux/souverains (Azure Government, Microsoft Azure géré par 21Vianet). |
| Systèmes de gestion du code source | GitHub Enterprise Cloud. Ceci nécessite également une licence pour GitHub Advanced Security (GHAS). Azure DevOps Services |
Applications prises en charge
| Nom du partenaire | Description | Guide d’activation |
|---|---|---|
| 42Crunch | Les développeurs peuvent tester et renforcer de façon proactive les API au sein de leurs pipelines CI/CD via des tests statiques et dynamiques des API par rapport aux principaux risques d’API OWASP et aux meilleures pratiques de la spécification OpenAPI. | Guide d’intégration de 42Crunch |
| StackHawk | StackHawk est le seul outil moderne de test de sécurité DAST (Dynamic Application Security Testing) et d’API qui s’exécute dans CI/CD, permettant aux développeurs de trouver et de résoudre rapidement les problèmes de sécurité avant qu’ils n’apparaissent en production. | Guide d’intégration de StackHawk |
| Bright Security | La plateforme DAST centrée sur le développement de Bright Security permet aux développeurs et aux professionnels AppSec de tester la sécurité de niveau entreprise pour les applications web, les API, et les applications GenAI et LLM. Bright sait comment effectuer les tests appropriés, au moment opportun dans SDLC, dans les meilleures outils et piles de développement et AppSec, avec un minimum de faux positifs et de fatigue des alertes. | Guide d’intégration de Bright Security |
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour