Las 4 herramientas de api security basadas en openapi que necesitas
El API security se ha puesto de moda, pero debemos entenderlo como un proceso de seguridad integral de nuestras APIs dónde se trabaja en 3 tempos: definición, despliegues y tiempo real.
Aunque existen diferentes herramientas para cada tempo, en este post nos vamos a centrar en las mejores herramientas para evaluar la seguridad según los documentos de definición, principalmente en openapi.
API Security Tools
A continuación os enumeramos las más importantes:
– 42Crunch: Es la herramienta más evolucionada y más antigua. A favor es la que más reglas tiene, tiene un plugin con visual studio muy potente, y se integra muy bien en los ciclos de CI/CD. En contra hay que añadir el coste.
– doSonarAPI: Es un plugin de sonar que permite hacer api security basada en definición. Está todavía en beta estas opciones, pero es opensource y gratuito.
– Mulesoft: Desde el ciclo de vida Mulesoft ha desarrollado reglas predefinidas basadas en OWASP que lo han metido en su ciclo de vida. A favor es que es bastante fácil añadir las reglas y está todo integrado, en contra que está bastante
– APisec: Es una herramienta especializada en api security bastante potente en la parte de definición. A favor es que es Saas y su integración con otras herramientas, en contra que hay que asumir el coste de la misma.
Existen otras herramientas como Postman, que acaba de anunciar en su v10 que están trabajando en esta parte y pronto vamos a tener novedades bastantes interesantes.
Dónde encontrar las herramientas
- 42crunch: https://42crunch.com/
- Apisec: https://www.apisec.ai/
- Mulesoft: https://mulesoft.com/
- doSonarAPI y apiquality: https://apiquality.io/ y https://github.com/apiaddicts/dosonarapi
