Qodex

Что такое Qodex?

Qodex — это «API Assurance Layer», который создаёт единую систему учёта API организации, начиная с кодовой базы и непрерывно обеспечивая видимость API, их поведение и security posture.

Цель — устранить пробелы, которые возникают, когда команды используют отдельные инструменты для обнаружения, сканирования и каталогизации API. Qodex фокусируется на том, что эти инструменты не видят — внутренних, shadow и «мёртвых, но вызываемых» эндпоинтах — и обновляет документацию и покрытие тестами по мере дрейфа API.

Ключевые возможности

• Обнаружение API из кода: Подключите репозиторий, чтобы сгенерировать карту эндпоинтов, включая внутренние, shadow и «мёртвые, но вызываемые» маршруты, которые могут пропустить шлюзы и существующие каталоги.
• Тесты из простого английского: Опишите цель теста простым английским; Qodex генерирует многошаговые сценарии тестов и производит тест-код.
• Тесты как версионируемый код: Сгенерированные тесты прозрачны, редактируемы и коммитятся в Git, чтобы запускаться в Qodex, в CI/CD или на вашей инфраструктуре.
• Непрерывная видимость posture: Отслеживайте владельцев, актуальность тестов, пробелы в покрытии и security posture из одного control plane с текущим статусом.
• Проверки безопасности по OWASP в CI: Запускайте «Top 10» security assertions параллельно с функциональными тестами в стандартных CI-пайплайнах, чтобы ловить проблемы до продакшена.
• Интеграции с репозиториями и CI/CD: Интегрируется с GitHub, GitLab, Bitbucket и рабочими процессами CI/CD, не заменяя существующие инструменты.

Как использовать Qodex

1. Подключите репозиторий с кодом, чтобы Qodex обнаружил эндпоинты из вашего API-исходника.
2. Просмотрите обнаруженную API surface, чтобы понять покрытие эндпоинтов, владельцев и чувствительность данных по данным Qodex.
3. Генерируйте и поддерживайте тесты, описывая желаемые проверки простым английским; Qodex создаёт тест-код и коммитит его в ваш Git-репозиторий.
4. Запускайте тесты в вашем workflow, выполняя их в Qodex, в CI/CD или на вашей инфраструктуре.
5. Используйте непрерывную отчётность и алерты, чтобы мониторить результаты тестов и security assertions, и видеть изменения в поведении API или security posture.

Сценарии использования

• Создайте актуальный инвентарь API: Ответьте на вопрос «Сколько у нас API?», обнаруживая эндпоинты прямо из кодовой базы, включая внутренние и shadow-маршруты.
• Обнаружьте дрейф покрытия после релизов: Определите, какие API изменились, и отстают ли тесты и документация, снижая риск поломки downstream-клиентов от «безопасных» изменений схемы или поведения.
• Обеспечьте data-backed security response: Быстро определите, какие эндпоинты обрабатывают PII или соответствуют требованиям безопасности, без устаревших вики или ручных расследований.
• Автоматизируйте регрессионное и security-тестирование в масштабе: Непрерывно проверяйте функциональные/регрессионные и security assertions в продакшен-ворклоадах, с проверками по категориям OWASP.
• Перейдите от ручных скриптов к тестам в репозитории: Уберите ручные тестовые скрипты, генерируя редактируемые, версионируемые тесты для запуска в CI/CD.

FAQ

• Что обнаруживает Qodex? Qodex обнаруживает API-эндпоинты из вашей кодовой базы, включая внутренние, shadow и «мёртвые, но вызываемые» маршруты, которые могут отсутствовать в шлюзах или существующих каталогах.

• Как создаются тесты? Qodex генерирует тесты из описаний на простом английском, производя тест-код для коммита в Git.

• Где можно запускать сгенерированные тесты? Тесты можно запускать в Qodex, в CI/CD или на вашей инфраструктуре.

• Включает ли Qodex security-тестирование? Да. Qodex запускает проверки безопасности по OWASP параллельно с функциональными тестами в CI-пайплайнах — «Top 10 security assertions» на билд.

• Какие интеграции поддерживаются? Qodex интегрируется с GitHub, GitLab, Bitbucket и рабочими процессами CI/CD.

Альтернативы

• Сканеры API и инструменты управления уязвимостями: Они могут фокусироваться на runtime findings или известных категориях уязвимостей, но обычно не генерируют version-controlled functional/security тесты из кода в едином unified workflow, как описано для Qodex.
• API gateways и API catalogs: Gateways и каталоги обеспечивают видимость маршрутов, которые они захватывают, но Qodex специально нацелен на эндпоинты, которые эти системы могут пропустить (например, internal/shadow/dead-but-callable routes).
• Инструменты документации API с ручным ревью: Такие инструменты помогают командам картировать эндпоинты, но Qodex акцентирует continuous assurance, привязанную к коду и актуальности тестов, а не к статическим обновлениям документации.
• Универсальные фреймворки автоматизации тестов (ручное создание): Инструменты этой категории помогают запускать автоматизированные тесты, но обычно требуют от команд самостоятельно писать и поддерживать тест-кейсы, а не генерировать тесты из plain English и коммитить их в Git, как описано для Qodex.