Qodex

Was ist Qodex?

Qodex ist eine „API-Assurance-Schicht“, die ein System der Aufzeichnung für die APIs einer Organisation schafft – beginnend beim Codebase und kontinuierlich sicherstellend, dass API-Visibility, Verhalten und Security-Posture gewährleistet sind.

Das Ziel ist es, Lücken zu schließen, die entstehen, wenn Teams auf separate Tools für API-Discovery, Scanning und Cataloging setzen. Qodex konzentriert sich auf das, was diese Tools nicht sehen – wie interne, Shadow- und tote-aber-aufrufbare Endpoints – und aktualisiert Dokumentation und Testabdeckung, während APIs im Laufe der Zeit driften.

Wichtige Features

• API-Discovery aus Code: Repository anschließen, um eine Karte der Endpoints zu erzeugen, inklusive interner, Shadow- und „toter-aber-aufrufbarer“ Routen, die Gateways und bestehende Kataloge übersehen könnten.
• Tests aus einfachem Englisch generiert: Test-Intention in einfachem Englisch beschreiben; Qodex erzeugt mehrstufige Test-Szenarien und produziert Testcode.
• Tests als versionskontrollierter Code: Generierte Tests sind transparent, editierbar und werden in Git committet, sodass sie in Qodex, in CI/CD oder auf der eigenen Infrastruktur laufen können.
• Kontinuierliche Posture-Visibility: Ownership, Test-Aktualität, Coverage-Gaps und Security-Posture von einer Control Plane mit aktuellem Status verfolgen.
• OWASP-konforme Security-Checks in CI: „Top 10“-Security-Assertions neben funktionalen Tests in Standard-CI-Pipelines ausführen, um Security-Probleme vor Production zu erkennen.
• Repository- und CI/CD-Integrationen: Integriert mit GitHub, GitLab, Bitbucket und CI/CD-Pipeline-Workflows, statt bestehende Tools zu ersetzen.

So nutzt du Qodex

1. Code-Repository anschließen, damit Qodex Endpoints aus deinem API-Source entdecken kann.
2. Entdeckte API-Surface prüfen, um Endpoint-Coverage, Ownership und Data-Sensitivity zu verstehen, wie von Qodex erfasst.
3. Tests generieren und pflegen, indem du gewünschte Checks in einfachem Englisch beschreibst; Qodex erzeugt Testcode und commitet ihn in dein Git-Repository.
4. Tests in deinem Workflow ausführen, in Qodex, in CI/CD oder auf deiner eigenen Infrastruktur.
5. Kontinuierliche Reporting und Alerting nutzen, um Test-Ergebnisse und Security-Assertions zu überwachen und Änderungen in API-Verhalten oder Security-Posture zu erkennen.

Anwendungsfälle

• Aktuelles API-Inventar aufbauen: „Wie viele APIs haben wir?“ beantworten, indem Endpoints direkt aus dem Codebase entdeckt werden, inklusive interner und Shadow-Routen.
• Coverage-Drift nach Releases erkennen: Ermitteln, welche APIs sich geändert haben und ob Tests und Dokumentation mitgehalten haben, um Risiken durch „sichere“ Schema- oder Verhaltensänderungen für Downstream-Clients zu mindern.
• Datenbasierte Security-Response erzeugen: Schnell feststellen, welche Endpoints PII handhaben oder Security-Anforderungen erfüllen, statt auf veraltete Wikis oder manuelle Untersuchungen zu setzen.
• Regression- und Security-Testing automatisieren: Funktionale/Regression- und Security-Assertions kontinuierlich über Production-Workloads validieren, mit Security-Checks ausgerichtet auf OWASP-Kategorien.
• Von manuellen Scripts zu Tests-in-Repo wechseln: Manuelle Test-Scripts eliminieren, durch editierbare, versionskontrollierte Tests, die in CI/CD laufen können.

FAQ

• Was entdeckt Qodex? Qodex entdeckt API-Endpoints aus deinem Codebase, inklusive interner, Shadow- und toter-aber-aufrufbarer Routen, die in Gateways oder bestehenden Katalogen fehlen könnten.

• Wie werden Tests erstellt? Qodex generiert Tests aus Beschreibungen in einfachem Englisch und produziert Testcode, der in Git committet werden kann.

• Wo können generierte Tests laufen? Tests können in Qodex, in CI/CD oder auf der eigenen Infrastruktur ausgeführt werden.

• Enthält Qodex Security-Testing? Ja. Qodex führt OWASP-konforme Security-Checks neben funktionalen Tests in CI-Pipelines durch, als „Top 10 Security-Assertions“ pro Build.

• Welche Integrationen werden unterstützt? Qodex integriert mit GitHub, GitLab, Bitbucket und CI/CD-Pipeline-Workflows.

Alternativen

• API-Scanner und Vulnerability-Management-Tools: Diese konzentrieren sich oft auf Laufzeit-Erkenntnisse oder bekannte Schwachstellenkategorien, generieren aber typischerweise keine versionskontrollierten funktionalen/Sicherheitstests aus Code im einheitlichen Workflow wie bei Qodex.
• API-Gateways und API-Kataloge: Gateways und Kataloge bieten Sichtbarkeit für erfasste Routen, doch Qodex zielt explizit auf Endpoints ab, die diese Systeme übersehen könnten (z. B. interne/Shadow/tote, aber aufrufbare Routen).
• API-Dokumentations-Tools mit manueller Überprüfung: Dokumentations-Tools helfen Teams bei der Abbildung von Endpoints, aber Qodex betont kontinuierliche Assurance, die an Code und Test-Aktualität gekoppelt ist – statt statischer Dokumentations-Updates.
• Allgemeine Testautomatisierungs-Frameworks (manuelle Erstellung): Tools dieser Kategorie ermöglichen automatisierte Tests, erfordern jedoch meist, dass Teams Testfälle selbst schreiben und warten – statt Tests aus einfachem Englisch zu generieren und sie wie bei Qodex in Git zu committen.