В PT BlackBox 2.5 появились администрирование ролей и возможность сканирования API

Positive Technologies представила новую версию динамического анализатора приложений, сканера безопасности, работающего методом черного ящика, — PT BlackBox 2.5. Среди важных изменений — появление ролевой модели, позволяющей разграничить права доступа пользователей к функциям продукта, а также возможность сканирования API.

Ролевая модель доступа необходима для эффективной и удобной работы любой команды с ИТ и ИБ-продуктами. Каждый сотрудник получает доступ ровно к тем возможностям, которые нужны для выполнения задач. Таким образом решается вопрос информационной безопасности. Все сканирования в PT BlackBox привязаны к группе, внутри которой есть три роли: аудитор (просматривает проекты и отчеты), оператор (изменяет настройки проекта, запускает и останавливает сканирования) и модератор (управляет проектами, сканированиями и профилями внутри группы). Все эти настройки вынесены в раздел «Администрирование».

Вторая ключевая особенность PT BlackBox 2.5 — сканирование API на основе OpenAPI версии 3. Авторизация реализуется с помощью токена для целей сканирования или через куки. Киберпреступники часто используют уязвимости API как точки входа в периметр корпоративной сети. Новая версия продукта дает возможность защитить цепочку взаимодействий пользователя с клиентским приложением.

«Из-за повсеместной работы с SPA (single-page app, одностраничные приложения) и развития парадигмы API-first проверка API приложений становится как никогда актуальной, — рассказывает руководитель отдела обеспечения качества продуктов application security в Positive Technologies Олег Халаджиев. — Недостаточно проверить веб-интерфейс и найти доступные точки атаки на „внешнем“ бэкенде. Запросы пользователей и потенциальных атакующих могут проходить по цепочке сервисов, и отследить такую атаку классическим методом черного ящика становится все сложнее. Поэтому мы предлагаем разработчикам поучаствовать в проверке своих приложений с помощью корректно и подробно заполненной API схемы. Так мы продолжаем наш трек про то, что безопасная разработка — это несложно».

Получить новый функционал можно уже сейчас, для этого необходимо обновить PT BlackBox до версии 2.5.