Traceable AI a annoncé aujourd'hui la disponibilité générale de xAST, une solution de test de sécurité des API pour son offre API Security Platform. Cet ensemble de fonctionnalités, qui a fait l'objet d'un test bêta approfondi avec certains des plus gros clients du fournisseur, est disponible immédiatement et s'appuie sur les fonctionnalités existantes de visibilité et d'analyse des risques de Traceable. L'idée est de réduire l'impact des vulnérabilités potentielles des API au début du processus de développement logiciel, en facilitant le test actif d'une API au terme du cycle de développement, mais avant sa mise en production. L'éditeur utilise une approche « in-app » des tests d'API, ce qui signifie qu'il observe le comportement du logiciel pendant son exécution, par opposition au modèle « contractuel », qui se contente d'analyser si l’API se comporte comme prévu.

Un « suivi distribué » de l'observabilité des API

Selon l'analyste principal du cabinet Omdia, Rik Turner, cette approche est plus exigeante en termes de calcul, mais pourrait fournir une meilleure visibilité sur la sécurité ou l'absence de sécurité d'un logiciel donné. « Traceable fait notamment valoir que son approche de « suivi distribué » de la surveillance des API est un différentiateur clé », a-t-il déclaré. « Non seulement, ce mode de suivi est spécialement adapté aux architectures de microservices, mais il permet à la société d'observer chaque requête circulant dans le système, du début à la fin, et il peut servir à améliorer les performances et comprendre les caractéristiques d’un comportement typique ». Selon Traceable, la rapidité et l'intégration du processus de test représentent aussi un autre avantage clé, dans la mesure où l'analyse des API à l'aide de xAST ne devrait pas modifier les « cadences de développement et de publication », a précisé le fournisseur. Autrement dit, le processus de test ne devrait pas être un obstacle.

Le système xAST fournit des résultats sous la forme d'un résumé d'analyse, comparant les vulnérabilités à la liste des 10 premières vulnérabilités de l'Open Web Application Security Project (OWASP), pour rechercher l'exposition des données, les mauvaises configurations, les problèmes d'autorisation et les problèmes connus comme Log4shell. Selon M. Turner, cette nouveauté est assez révolutionnaire, affirmant que Traceable a « assurément trouvé quelque chose de spécial ». « Dans un premier temps, ils sont arrivés sur le marché avec l'approche in-app de l'observabilité, dont ils continuent à dire qu'elle est supérieure, mais depuis, ils ont ajouté l'observation « out-of-band » à la demande de clients importants », a déclaré l’analyste d’Omdia. « Néanmoins, s'ils parviennent à inciter davantage de clients à adopter l'approche in-app, je pense qu'ils bénéficieront d'une adoption considérable et qu'ils obligeront au minimum les autres fournisseurs à tenir compte de ce qu'ils font et à chercher à les imiter », a ajouté Rik Turner. Les fonctionnalités de xAST sont désormais disponibles sans frais supplémentaires pour tous les clients de Traceable utilisant son catalogue d'API. Mais si la demande est jugée suffisante, le fournisseur pourrait commercialiser xAST en tant que produit autonome.