APIセキュリティ

API セキュリティとは、ウェブアプリケーションプログラミングインタフェース(API)を不正アクセス、誤用、攻撃からセキュリ ティ保護するために取られる対策を指します。API は、アプリケーションが相互に作用し、データを交換することを可能にするため、最新のアプリケーション開発の重要な要素です。しかし、これは攻撃者にとって魅力的なものでもあり、適切に保護されなければセキュリティの脅威に脆弱なものでもあります。このセクションでは、アプリケーションの Web API のセキュリティを確保するために使える GitLab の機能について説明します。説明する機能の中には、Web API に特化したものもあれば、Web API アプリケーションでも使えるより一般的なソリューションもあります。

  • SASTは、アプリケーションのコードベースを分析することによって脆弱性を特定しました。
  • 依存関係スキャンは、既知の脆弱性(例えば CVEs)について、プロジェクトのサードパーティの依存関係をレビューします。
  • コンテナスキャンは、コンテナイメージを解析し、既知のOSパッケージの脆弱性とインストールされた言語の依存関係を特定します。
  • API Discoveryは、REST API を含むアプリケーションを検査し、その API の OpenAPI 仕様を直感します。OpenAPI仕様書は、他のGitLabセキュリティツールで使用されます。
  • DAST APIは、Web APIの動的解析セキュリティテストを実行します。OWASP Top 10を含む、アプリケーションの様々なセキュリティ脆弱性を特定することができます。
  • API Fuzzingは、ウェブ API のファズテストを実施します。ファズテストは、これまで知られておらず、SQL インジェクションのような古典的な脆弱性タイプに対応しないアプリケーションのイシューを探します。