Qodex

Qu’est-ce que Qodex ?

Qodex est une couche d’assurance API qui crée un système d’enregistrement pour les API d’une organisation en partant du code source et en assurant en continu la visibilité, le comportement et la posture de sécurité des API.

L’objectif est de combler les lacunes qui apparaissent typiquement lorsque les équipes s’appuient sur des outils séparés pour la découverte, le scan et le catalogage des API. Qodex se concentre sur ce que ces outils ne voient pas — comme les endpoints internes, shadow et morts-mais-appelables — et met à jour la documentation et la couverture des tests au fil de la dérive des API.

Fonctionnalités clés

• Découverte API depuis le code : Connectez un dépôt pour générer une carte des endpoints, incluant les routes internes, shadow et « mortes-mais-appelables » que les passerelles et catalogues existants peuvent manquer.
• Tests générés en anglais simple : Décrivez l’intention des tests en anglais simple ; Qodex génère des scénarios de test multi-étapes et produit du code de test.
• Tests en tant que code versionné : Les tests générés sont transparents, modifiables et committés dans Git, pour s’exécuter dans Qodex, en CI/CD ou sur l’infrastructure de l’utilisateur.
• Visibilité continue de la posture : Suivez propriété, fraîcheur des tests, lacunes de couverture et posture de sécurité depuis un seul plan de contrôle avec statut actuel.
• Vérifications sécurité alignées OWASP en CI : Exécutez les assertions de sécurité « Top 10 » aux côtés des tests fonctionnels dans les pipelines CI standards, pour détecter les problèmes de sécurité avant la production.
• Intégrations dépôt et CI/CD : S’intègre avec GitHub, GitLab, Bitbucket et workflows CI/CD plutôt que de remplacer les outils existants.

Comment utiliser Qodex

1. Connectez votre dépôt de code pour permettre à Qodex de découvrir les endpoints depuis votre source API.
2. Examinez la surface API découverte pour comprendre la couverture des endpoints, la propriété et la sensibilité des données telles que capturées par Qodex.
3. Générez et maintenez des tests en décrivant les vérifications souhaitées en anglais simple ; Qodex génère le code de test et le commite dans votre dépôt Git.
4. Exécutez les tests dans votre workflow en les lançant dans Qodex, en CI/CD ou sur votre propre infrastructure.
5. Utilisez le reporting et les alertes continues pour surveiller les résultats des tests et assertions de sécurité, et détecter les changements de comportement API ou de posture de sécurité.

Cas d’usage

• Construire un inventaire API à jour : Répondez à « Combien d’API avons-nous ? » en découvrant les endpoints directement depuis le code source, y compris les routes internes et shadow.
• Détecter la dérive de couverture après releases : Identifiez quelles API ont changé et si les tests et documentation sont à jour, réduisant le risque que des changements de schéma ou comportement « safe » cassent les clients downstream.
• Produire une réponse sécurité étayée par les données : Déterminez rapidement quels endpoints gèrent des PII ou correspondent aux exigences sécurité, plutôt que de dépendre de wikis obsolètes ou d’enquêtes manuelles.
• Automatiser tests de régression et sécurité à l’échelle : Validez assertions fonctionnelles/régression et sécurité en continu sur les charges de production, avec vérifications sécurité alignées sur les catégories OWASP.
• Passer des scripts manuels aux tests-in-repo : Éliminez les scripts de test manuels en générant des tests modifiables et versionnés qui s’exécutent en CI/CD.

FAQ

• Que découvre Qodex ? Qodex découvre les endpoints API depuis votre code source, incluant les routes internes, shadow et mortes-mais-appelables qui peuvent ne pas apparaître dans les passerelles ou catalogues existants.

• Comment sont créés les tests ? Qodex génère des tests à partir de descriptions en anglais simple, produisant du code de test committable dans Git.

• Où peuvent s’exécuter les tests générés ? Le site indique que les tests peuvent s’exécuter dans Qodex, en CI/CD ou sur l’infrastructure de l’utilisateur.

• Qodex inclut-il des tests de sécurité ? Oui. Qodex exécute des vérifications sécurité alignées OWASP aux côtés des tests fonctionnels dans les pipelines CI, décrites comme « Top 10 assertions sécurité » par build.

• Quelles intégrations sont supportées ? Qodex s’intègre avec GitHub, GitLab, Bitbucket et workflows pipelines CI/CD.

Alternatives

• Scanners API et outils de gestion des vulnérabilités : Ils se concentrent souvent sur les découvertes en runtime ou les catégories de vulnérabilités connues, mais ne génèrent généralement pas de tests fonctionnels/sécurité versionnés à partir du code dans un workflow unifié comme pour Qodex.
• Gateways API et catalogues API : Les gateways et catalogues offrent une visibilité sur les routes qu’ils capturent, mais Qodex cible explicitement les endpoints que ces systèmes pourraient manquer (ex. : routes internes/ombres/mortes-mais-appelables).
• Outils de documentation API avec révision manuelle : Ces outils aident les équipes à cartographier les endpoints, mais Qodex met l’accent sur une assurance continue liée au code et à la fraîcheur des tests, plutôt que sur des mises à jour de documentation statique.
• Frameworks d’automatisation de tests généralistes (rédaction manuelle) : Ces outils permettent d’exécuter des tests automatisés, mais exigent généralement que les équipes écrivent et maintiennent elles-mêmes les cas de test, au lieu de les générer à partir d’anglais simple et de les committer dans Git comme décrit pour Qodex.