「適用於雲端的 Microsoft Defender」中的合作夥伴應用程式的 API 安全性測試 (預覽版)
「適用於雲端的 Microsoft Defender」支援第三方工具,以協助增強「適用於 API 的 Defender」所提供的現有執行階段安全性功能。 適用於雲端的 Defender 支援在開發生命週期 (包括原始程式碼存放庫與 CI/CD 管線) 的早期階段主動進行 API 安全性測試功能。
概觀
對第三方解決方案的支援有助於透過適用於雲端的 Microsoft Defender 來進一步簡化、整合和協調合作夥伴解決方案的安全性結果。 此支援可實現完整生命週期的 API 安全性,並且讓安全性小組能夠在將 API 安全性弱點部署到生產環境之前有效地發現並修補它們。
合作夥伴應用程式的安全性掃描結果現在可在「適用於雲端的 Defender」內取得,確保中央安全性小組能夠查看「適用於雲端的 Defender」建議體驗內的 API 健康情況。 這些安全性小組現在可以採取透過「適用於雲端的 Defender」建議原生提供的治理步驟,以及將掃描結果從 Azure Resource Graph 匯出到他們選擇的管理工具中的擴充性。
必要條件
此功能需要適用於雲端的 Defender 中的 GitHub 連接器。 請參閱如何讓您的 GitHub 組織上線。
| 層面 | 詳細資料 |
|---|---|
| 版本狀態 | 預覽 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。 |
| 必要/慣用的環境需求 | 原始程碼存放庫中的 API,包括 OpenAPI、Swagger 等 API 規格檔案。 |
| 雲端 | 可在商業雲中使用。 不適用於國家雲/主權雲 (Azure Government、由 21Vianet 營運的 Microsoft Azure)。 |
| 原始程式碼管理系統 | GitHub Enterprise 雲端。 這也需要 GitHub Advanced Security (GHAS) 的授權。 Azure DevOps Services |
支援的應用程式
| 合作夥伴名稱 | 描述 | 啟用指南 |
|---|---|---|
| 42Crunch | 開發人員可以根據 OWASP API 的主要風險和 OpenAPI 規格最佳做法,透過對 API 進行靜態和動態測試,主動測試並強化其 CI/CD 管線中的 API。 | 42Crunch 上線指南 |
| StackHawk | StackHawk 是唯一可在 CI/CD 中執行的新式 DAST 和 API 安全性測試工具,可讓開發人員在達到生產環境之前快速找出並修正安全性問題。 | StackHawk 上線指南 |
| Bright Security | Bright Security 是以開發人員為中心的 DAST 平台,為開發人員和 AppSec 專業人員提供 Web 應用程式、API 和 GenAI 和 LLM 應用程式的企業級安全性測試功能。 Bright 知道如何在 SDLC 的正確時間,在開發人員和 AppSec 工具及選擇堆疊中,以最少的誤判和警示疲勞來提供正確的測試。 | Bright Security 上線指南 |