Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP

Continuous Delivery ist allgegenwärtig. Wirklich? Viele Teams straucheln immer noch dabei, regelmäßig gut getestete und vor allem sichere Software auszuliefern. Immer mit der gleichen, guten alten Ausrede: die nicht-funktionalen Tests seien zu aufwändig und zu teuer umzusetzen. Doch genau das Gegenteil ist der Fall!

In diesem Vortrag gehen wir kurz auf die aktuellen Bedrohungen und die Bedeutung früher und regelmäßiger Sicherheitstests von APIs ein. Anschließend zeigen wir, wie einfach es ist, diese Tests kontinuierlich und asynchron mit OWASP ZAP und Testkube gegen REST- und GraphQL-APIs direkt auf einem Kubernetes-Cluster auszuführen; immer dann wenn sich das API und der Service ändern.

Vorkenntnisse

Kenntnisse in der Entwicklung von REST- und/oder GraphQL-APIs (oder auch anderer Schnittstellentechnologien) sind von Vorteil. Kubernetes Basics sind ebenfalls nützlich, aber keine Voraussetzung.

Lernziele

• Aktuelle und mögliche Angriffsvektoren gegen REST- und GraphQL-APIs
  
• Schnelle und einfache Penetration Tests mit OWASP ZAP
  
• Kontinuierliche Security-Tests mit Testkube und Kubernetes (ohne CI-Pipeline-Integration)