この度、Syhunt Hybrid 7.1.10 をリリース。Postman Collections をサポート。

Syhunt Hybrid 7.1.10 では、API セキュリティスキャナーの機能拡張として、Postman Collections 仕様（バージョン 1.0 / 2.0 / 2.1）へ完全対応 できるようになり、Syhunt Hybrid 7.1.9 で導入された API セキュリティテスト機能がさらに強化しました。

Webアプリケーションおよびモバイルアプリケーションセキュリティ分野で培った実績を基盤として、Syhunt API は今後、Postman Collection ファイルを直接利用した動的セキュリティテストにも対応します。

これにより、開発チームやセキュリティチームは、テストやシステム連携で利用される APIエンドポイントを、より簡単に評価できるようになります。
Syhunt API は、API Blueprint、OpenAPI、Swagger に加え、Postman Collections にも対応しており、包括的なAPIカバレッジをさらに強化するだけでなく、標的型攻撃やアウト・オブ・バンド型攻撃の両方を含む30以上のカテゴリ、581種類以上のAPI特有の脆弱性を高精度かつ低誤検知で検出できます。

◼︎次回のアップデート予告（随時更新）
今後、動的分析（DAST）、ログベースの検出（FAST）、ソースレベル分析（SAST）を組み合わせることで、APIの保護範囲をさらに拡張し、包括的なAASMへ発展させる予定です。近日リリース予定の「Syhunt API Plus」では、ドキュメント化されたAPI、内部API、Shadow API(※1)、Zombie API(※2)、Orphan API(※3)、外部サービス連携APIなど、あらゆるAPIの自動検出と継続的なセキュリティテストが可能になります。

(※1)Shadow API：管理者が把握していないAPI (※2)Zombie API：古いがまだ残っているAPI (※3)Orphan API：利用主体が不明な放置API

＜今回のアップデート内容＞

• [API] Postman Collections API 仕様フォーマット（v1 / v2 / v2.1）への対応を追加
• [API] API Blueprint サポートを改善
• クラウド版 Jira との連携互換性を追加
• [Code]スキャンレポート冒頭に、検出されたプログラミング言語を表示するよう改善
• Syhunt 脆弱性データベース全体の CWE 参照情報を更新
• [Dynamic] Spidering（クロール）段階におけるタイムアウト耐性を改善
• [Dynamic] 追加のクロール最適化および無限ループ防止機能を実装
• [Web UI版] オペレーターは「ターゲット設定画面」でターゲットのパスワード編集が可能に※閲覧不可
• CLI コマンド：scancore -apiprefdisable:permission_adminscanはWeb UI 管理者によるスキャン実行権限を無効化が可能に
• コネクタパスワードが Web UI 上で正しく表示・編集できない場合がある問題を修正