GrammaTech lança ferramenta de segurança de API de código aberto
A empresa de testes de segurança de aplicativos GrammaTech anunciou na quarta-feira que lançou uma ferramenta de código aberto projetada para detectar erros de uso de API.
A ferramenta, chamada SWAP Detector, foi desenvolvida como parte de um projeto de pesquisa patrocinado pelo Departamento de Segurança Interna dos Estados Unidos (DHS) e a GrammaTech afirma que pode ser altamente útil para testes de segurança de aplicativos DevOps.
Muitos aplicativos de software dependem de APIs de terceiros e é importante para os desenvolvedores identificarem erros de uso da API, que podem apresentar problemas de segurança e confiabilidade.
O SWAP Detector analisa chamadas de função no código em um esforço para detectar possíveis erros de argumento trocados. Se tal erro for detectado, o usuário será avisado e o aviso também receberá uma pontuação.
A ferramenta pode ser integrada a produtos de análise estática, como Clang-Tidy, Clang Static Analyzer e PyLint. O SWAP Detector foca inicialmente em aplicativos escritos em C e C ++, mas GrammaTech diz que é aplicável a códigos escritos em outras linguagens de programação também, particularmente para linguagens interpretadas – ao invés de compiladas.
“O SWAP Detector usa várias técnicas de detecção de erros, colocadas em camadas para aumentar a precisão. Por exemplo, ele compara nomes de argumentos usados em sites de chamadas com os nomes de parâmetros usados nas declarações correspondentes ”, explicou GrammaTech.
“Além disso, ele usa técnicas de ‘Big Code’, aplicando informações estatísticas sobre usos de padrões de uso de API ‘conhecidos e bons’ coletados de um grande corpus de código e sinalizando usos que são estatisticamente anômalos como erros em potencial. Para melhorar a precisão dos avisos relatados, o SWAP Detector aplica estratégias de redução de falso-positivo à saída de ambas as técnicas ”, acrescentou.
Fonte: https://www.securityweek.com/grammatech-releases-open-source-api-security-tool
