Qodex

Qodexとは？

Qodexは「API Assurance Layer」で、コードベースから始めて組織のAPIの記録システムを作成し、APIの可視性、動作、セキュリティ姿勢を継続的に保証します。

目標は、チームがAPI発見、スキャン、カタログ化に別々のツールに依存すると生じるギャップを埋めることです。Qodexはそれらのツールが見えないもの—内部、シャドウ、デッドだが呼び出し可能なエンドポイント—に焦点を当て、APIが時間とともにドリフトする際にドキュメントとテストカバレッジを更新します。

コードからのAPI発見: リポジトリを接続してエンドポイントのマップを生成。ゲートウェイや既存カタログが見逃す可能性のある内部、シャドウ、「デッドだが呼び出し可能」ルートを含みます。
自然言語からのテスト生成: テストの意図を自然言語で記述；Qodexが複数ステップのテストシナリオを生成し、テストコードを出力します。
バージョン管理されたコードとしてのテスト: 生成されたテストは透明で編集可能、Gitにコミットされ、Qodex、CI/CD、またはユーザーのインフラで実行可能です。
継続的な姿勢可視化: 1つの制御基盤から所有権、テストの最新性、カバレッジギャップ、セキュリティ姿勢を現在ステータスで追跡。
CIでのOWASP準拠セキュリティチェック: 標準CIパイプラインで機能テストと並行して「Top 10」セキュリティアサーションを実行、本番前にセキュリティ問題を検知。
リポジトリとCI/CD統合: GitHub、GitLab、Bitbucket、CI/CDパイプラインと統合し、既存ツールを置き換えません。

最新APIインベントリ構築: 「APIは何個あるか？」にコードベースから直接エンドポイントを発見して回答。内部・シャドウルートを含む。
リリース後のカバレッジドリフト検知: 変更されたAPIを特定し、テストとドキュメントが追いついているかを確認。「安全」なスキーマや動作変更が下流クライアントを壊すリスクを低減。
データ裏付けのセキュリティ対応: PIIを扱うエンドポイントやセキュリティ要件に適合するものを迅速に特定、古いwikiや手動調査に頼らず。
大規模回帰・セキュリティテスト自動化: 本番ワークロード全体で機能/回帰とセキュリティアサーションを継続検証、OWASPカテゴリ準拠のセキュリティチェック。
手動スクリプトからリポジトリ内テストへ移行: 編集可能でバージョン管理されたテストを生成し、手動テストスクリプトを排除、CI/CDで実行。

Qodexは何を発見しますか？ QodexはコードベースからAPIエンドポイントを発見します。ゲートウェイや既存カタログに表示されない内部、シャドウ、デッドだが呼び出し可能なルートを含む。
テストはどう作成されますか？ Qodexは自然言語記述からテストを生成し、Gitにコミット可能なテストコードを出力します。
生成されたテストはどこで実行できますか？ サイトによると、Qodex、CI/CD、またはユーザーのインフラで実行可能です。
Qodexにセキュリティテストは含まれますか？ はい。QodexはCIパイプラインで機能テストと並行してOWASP準拠のセキュリティチェックを実行、「Top 10セキュリティアサーション」をビルドごとに記述。
どのような統合がサポートされますか？ QodexはGitHub、GitLab、Bitbucket、CI/CDパイプラインと統合します。

APIスキャナーおよび脆弱性管理ツール: これらはランタイムの検出結果や既知の脆弱性カテゴリに焦点を当てる場合がありますが、Qodexで説明されるような統一されたワークフローでコードからバージョン管理された機能/セキュリティテストを生成することは通常ありません。
APIゲートウェイおよびAPIカタログ: ゲートウェイとカタログは捕捉したルートの可視性を提供できますが、Qodexはこれらのシステムが見逃す可能性のあるエンドポイント（例: 内部/シャドウ/死んだが呼び出し可能なルート）を明示的に対象とします。
手動レビュー付きAPIドキュメンテーションツール: ドキュメンテーションツールはチームがエンドポイントをマッピングするのに役立ちますが、Qodexは静的なドキュメント更新ではなく、コードとテストの最新性に連動した継続的な保証を重視します。
汎用テスト自動化フレームワーク（手動作成）: このカテゴリのツールは自動テストの実行を支援しますが、Qodexで説明されるようにプレーンテキストからテストを生成してGitにコミットするのではなく、チームがテストケースを自ら記述・保守する必要があります。