За 5 коротких лет, Graphql укрепил свой след в качестве поддержки API многих применений, и не показывает никаких признаков замедления. Все больше и больше компаний выбирают GraphQL для своей простоты, способность получать правильный объем данных и то, как он может пройти график реляционных данных.
Защита приложений GraphQL, однако, была проблемой. Конечно, есть общие лучшие практики и правила. Но зависимость от обучения или рудиментарные автоматизированные проверки, которые в настоящее время существуют, только вызывает вас до сих пор. В конечном итоге ошибки безопасности будут развернуты, и ваше приложение будет подвергаться риску.
…до настоящего времени.
Мы рады объявить, что Hawkscan, сканирующий двигатель Stackhawk, теперь поддерживает приложения GraphQL. Stackhawk — единственный продукт на рынке, который может сканировать запущенное приложение GraphQL, моделируя атаку путем размывания различных параметров запроса, и всплыв потенциальные ошибки безопасности для инженерных групп.
С Stackhawk Команды, использующие GraphQL для своего уровня API, теперь могут уверенно улавливать потенциальную уязвимость, прежде чем ошибки безопасности достигнут производства. При автоматизации CI/CD вы можете убедиться, что потенциальные ошибки попадают в начале жизненного цикла разработки и исправлены разработчиками, которые имеют контекст и опыт кодовой базы, с которой они только что объединили.
Stackhawk — это динамический инструмент тестирования безопасности приложений. Это означает, что он проходит тестирование безопасности по сравнению с вашим работающим приложением, будь то на вашей местной машине, в средах CI или против вашего приложения в производстве.
Тестирование GraphQL проводится путем обнародования конечной точки самоанализа на сканер через файл Stackhawk.yml. Сканер руководит самоанализом и определяет все потенциальные операции запросов и мутаций конечной точки, а затем приходит к работе, обнаруживая потенциальные ошибки безопасности. В качестве динамического теста на безопасность сканер отправляет запросы на все конечные точки, эффективно разбивая все дерево GraphQL, имитируя способы атаки приложения. Сканер регистрирует все протестированные конечные точки и любые обнаруженные ошибки безопасности, с соответствующим запросом и полезной нагрузкой ответа. Оттуда разработчики могут сорвать ошибки, решать проблемы с высокими приоритетами и использовать управление результатами в тихой шуме для принятого риска или назначенных предметов. Затем сканирование GraphQL может быть автоматизировано в трубопроводе, чтобы гарантировать, что строительство не попадает в производство с неприемлемым риском безопасности.
Начало работы с GraphQL Security в Stackhawk невероятно просто, просто требуя добавления пути схемы к файлу Stackhawk.yml.
App: ... graphQL: true graphQLSchemaPath: /graphql
Посетите Наши документы Для получения дополнительной информации о конфигурации для GraphQL, а также других параметров конфигурации, таких как аутентифицированное сканирование. Как всегда, наша команда доступна, чтобы помочь, когда вы начинаете использовать Stackhawk. Обратитесь к support@stackhawk.com И мы будем рады помочь.
Оригинал: «https://dev.to/stackhawk/announcing-graphql-application-security-testing-2eea»