你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 中用于 API 安全测试的合作伙伴应用程序(预览版)
Microsoft Defender for Cloud 支持第三方工具,以帮助增强 Defender for API 提供的现有运行时安全功能。 Defender for Cloud 在开发生命周期的早期阶段支持主动 API 安全测试功能(包括源代码存储库和 CI/CD 管道)。
概述
对第三方解决方案的支持有助于通过 Microsoft Defender for Cloud 进一步简化、集成和协调来自合作伙伴解决方案的安全发现。 此支持实现了整个生命周期的 API 安全性,并使安全团队能够在 API 安全漏洞部署到生产环境之前有效地发现和修正它们。
合作伙伴应用程序的安全扫描结果现已在 Defender for Cloud 中提供,确保中央安全团队能够了解 Defender for Cloud 推荐体验中 API 的健康状况。 这些安全团队现在可以通过 Defender for Cloud 建议和可扩展性采取本机提供的治理步骤,将扫描结果从 Azure Resource Graph 导出到所选管理工具中。
先决条件
此功能需要在 Defender for Cloud 中使用 GitHub 连接器。 请参阅如何加入 GitHub 组织。
| 方面 | 详细信息 |
|---|---|
| 发布状态 | 预览 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。 |
| 必需/首选环境要求 | 源代码存储库中的 API,包括 OPENAPI、Swagger 等 API 规范文件。 |
| 云 | 在商业云中可用。 在国家/主权云(Azure 政府,由世纪互联运营的 Microsoft Azure)中不可用。 |
| 源代码管理系统 | GitHub Enterprise Cloud。 这还需要 GitHub Advanced Security (GHAS) 的许可证。 Azure DevOps Services |
支持的应用程序
| 合作伙伴名称 | 说明 | 启用指南 |
|---|---|---|
| 42Crunch | 开发人员可以针对顶级 OWASP API 风险和开放 API 规范最佳实践对 API 进行静态和动态测试,主动测试和强化 CI/CD 管道中的 API。 | 42Crunch 加入指南 |
| StackHawk | StackHawk 是唯一在 CI/CD 中运行的新式 DAST 和 API 安全测试工具,使开发人员能够在投入生产之前快速找到并修复安全问题。 | StackHawk 加入指南 |
| Bright Security | Bright Security 以开发为中心的 DAST 平台为开发人员和 AppSec 专业人员提供适用于 Web 应用程序、API 以及 GenAI 和 LLM 应用程序的企业级安全测试功能。 Bright 知道如何在正确的时间在 SDLC、开发人员和 AppSec 工具以及选择的堆栈中提供正确的测试,同时最大限度地减少误报和警报疲劳。 | Bright Security 加入指南 |