Qodex

Cos'è Qodex?

Qodex è un “API Assurance Layer” che crea un sistema di record per le API di un'organizzazione partendo dal codebase e assicurando continuamente visibilità, comportamento e postura di sicurezza delle API.

L'obiettivo dichiarato è colmare le lacune che tipicamente emergono quando i team si affidano a strumenti separati per discovery, scanning e catalogazione delle API. Qodex si concentra su ciò che quegli strumenti non vedono — come endpoint interni, shadow e dead-but-callable — e aggiorna documentazione e copertura dei test man mano che le API evolvono nel tempo.

Caratteristiche Principali

• API discovery dal codice: Collega un repository per generare una mappa degli endpoint, inclusi quelli interni, shadow e “dead-but-callable” che gateway e catalog esistenti potrebbero mancare.
• Test generati da inglese semplice: Descrivi l'intento del test in inglese semplice; Qodex genera scenari di test multi-step e produce codice di test.
• Test come codice version-controlled: I test generati sono trasparenti, modificabili e committati su Git, così possono essere eseguiti in Qodex, in CI/CD o sulla propria infrastruttura.
• Visibilità continua della postura: Monitora ownership, freschezza dei test, gap di copertura e postura di sicurezza da un'unica control plane con stato attuale.
• Controlli di sicurezza allineati OWASP in CI: Esegue asserzioni di sicurezza “Top 10” insieme ai test funzionali come parte delle pipeline CI standard, per intercettare issues di sicurezza prima della produzione.
• Integrazioni con repository e CI/CD: Si integra con GitHub, GitLab, Bitbucket e workflow di pipeline CI/CD invece di sostituire gli strumenti esistenti.

Come Usare Qodex

1. Collega il tuo repository di codice per consentire a Qodex di scoprire endpoint dalla sorgente API.
2. Esamina la superficie API scoperta per comprendere copertura degli endpoint, ownership e sensibilità dei dati come catturati da Qodex.
3. Genera e mantieni test descrivendo i controlli desiderati in inglese semplice; Qodex genera codice di test e lo commetta al tuo repository Git.
4. Esegui test nel tuo workflow eseguendoli in Qodex, in CI/CD o sulla tua infrastruttura.
5. Usa reporting e alerting continui per monitorare risultati dei test e asserzioni di sicurezza, e per vedere quando cambiano comportamento API o postura di sicurezza.

Casi d'Uso

• Costruisci un inventario API aggiornato: Rispondi a “Quante API abbiamo?” scoprendo endpoint direttamente dal codebase, inclusi quelli interni e shadow.
• Rileva drift di copertura dopo i rilasci: Identifica quali API sono cambiate e se test e documentazione sono al passo, riducendo il rischio che cambiamenti “sicuri” a schema o comportamento rompano client downstream.
• Produci una risposta di sicurezza data-backed: Determina rapidamente quali endpoint gestiscono PII o soddisfano requisiti di sicurezza, invece di affidarsi a wiki obsoleti o indagini manuali.
• Automatizza testing di regressione e sicurezza su scala: Valida asserzioni funzionali/regressione e di sicurezza continuamente su workload di produzione, con controlli di sicurezza allineati alle categorie OWASP.
• Passa da scripting manuale a test-in-repo: Elimina script di test manuali generando test modificabili e version-controlled che possono essere eseguiti in CI/CD.

FAQ

• Cosa scopre Qodex? Qodex scopre endpoint API dal tuo codebase, inclusi quelli interni, shadow e dead-but-callable che potrebbero non apparire in gateway o catalog esistenti.

• Come vengono creati i test? Qodex genera test da descrizioni in inglese semplice, producendo codice di test che può essere committato su Git.

• Dove possono essere eseguiti i test generati? Il sito indica che i test possono essere eseguiti in Qodex, in CI/CD o sulla infrastruttura dell'utente.

• Qodex include testing di sicurezza? Sì. Qodex esegue controlli di sicurezza allineati OWASP insieme ai test funzionali nelle pipeline CI, descritti come “Top 10 security assertions” per build.

• Quali integrazioni sono supportate? Qodex si integra con GitHub, GitLab, Bitbucket e workflow di pipeline CI/CD.

Alternative

• Scanner API e strumenti di gestione vulnerabilità: Questi si concentrano su rilevamenti runtime o categorie di vulnerabilità note, ma tipicamente non generano test funzionali/sicurezza version-controlled dal codice nello stesso workflow unificato descritto per Qodex.
• Gateway API e cataloghi API: Gateway e cataloghi offrono visibilità sulle rotte catturate, ma Qodex punta esplicitamente agli endpoint che quei sistemi potrebbero mancare (es. rotte interne/ombra/morte-ma-chiamabili).
• Strumenti di documentazione API con revisione manuale: Gli strumenti di documentazione aiutano i team a mappare gli endpoint, ma Qodex enfatizza l’assicurazione continua legata al codice e alla recentezza dei test anziché aggiornamenti statici della documentazione.
• Framework di automazione test generici (scrittura manuale): Gli strumenti di questa categoria aiutano a eseguire test automatizzati, ma richiedono generalmente ai team di scrivere e mantenere i casi di test da soli anziché generarli da inglese semplice e commitandoli su Git come descritto per Qodex.