Qodex

Qodex 是什么？

Qodex 是一个“API 保障层”，通过从代码库入手，为组织的 API 创建记录系统，并持续保障 API 可见性、行为和安全态势。

其明确目标是填补团队依赖独立工具进行 API 发现、扫描和编目时常见的空白。Qodex 关注这些工具看不到的内容——如内部端点、影子端点和“已死但可调用”端点——并随着 API 随时间漂移而更新文档和测试覆盖。

主要特性

• 基于代码的 API 发现：连接代码仓库，生成端点映射，包括网关和现有编目可能遗漏的内部、影子和“已死但可调用”路由。
• 从纯英文生成测试：用纯英文描述测试意图；Qodex 生成多步骤测试场景并产出测试代码。
• 测试作为版本控制代码：生成的测试透明、可编辑，并提交到 Git，因此可在 Qodex、CI/CD 或用户自己的基础设施中运行。
• 持续态势可见性：从一个控制面板跟踪所有权、测试新鲜度、覆盖空白和安全态势，并显示当前状态。
• CI 中的 OWASP 一致性安全检查：在标准 CI 管道中，与功能测试一起运行“Top 10”安全断言，旨在在生产前捕获安全问题。
• 仓库和 CI/CD 集成：与 GitHub、GitLab、Bitbucket 和 CI/CD 管道工作流集成，而非替换现有工具。

如何使用 Qodex

1. 连接代码仓库，启用 Qodex 从 API 源代码中发现端点。
2. 审视发现的 API 表面，了解 Qodex 捕获的端点覆盖、所有权和数据敏感性。
3. 生成并维护测试，用纯英文描述所需检查；Qodex 生成测试代码并提交到你的 Git 仓库。
4. 在工作流中运行测试，在 Qodex、CI/CD 或自己的基础设施中执行测试。
5. 使用持续报告和告警，监控测试结果和安全断言，并查看 API 行为或安全态势变化。

使用场景

• 构建最新的 API 清单：通过直接从代码库发现端点（包括内部和影子路由）回答“我们有多少个 API？”。
• 发布后检测覆盖漂移：识别哪些 API 发生了变化，以及测试和文档是否跟上，从而降低“安全”模式或行为变更破坏下游客户端的风险。
• 生成数据支持的安全响应：快速确定哪些端点处理 PII 或符合安全要求，而非依赖过时的 wiki 或手动调查。
• 大规模自动化回归和安全测试：持续验证生产工作负载的功能/回归和安全断言，安全检查与 OWASP 类别对齐。
• 从手动脚本转向仓库中的测试：通过生成可编辑的版本控制测试消除手动测试脚本，这些测试可在 CI/CD 中运行。

常见问题

• Qodex 发现什么？ Qodex 从代码库中发现 API 端点，包括内部、影子和“已死但可调用”路由，这些可能未出现在网关或现有编目中。

• 测试如何创建？ Qodex 从纯英文描述生成测试，产出可提交到 Git 的测试代码。

• 生成的测试可在何处运行？ 站点说明测试可在 Qodex、CI/CD 或用户自己的基础设施中运行。

• Qodex 包含安全测试吗？ 是的。Qodex 在 CI 管道中与功能测试一起运行 OWASP 一致性安全检查，被描述为每个构建的“Top 10 安全断言”。

• 支持哪些集成？ Qodex 与 GitHub、GitLab、Bitbucket 和 CI/CD 管道工作流集成。

替代方案

• API 扫描器和漏洞管理工具：这些工具可能关注运行时发现或已知漏洞类别，但通常不会像 Qodex 所述那样，在统一工作流中从代码生成版本控制的功能/安全测试。
• API 网关和 API 目录：网关和目录可提供对捕获路由的可见性，但 Qodex 明确针对这些系统可能遗漏的端点（例如，内部/影子/已死但可调用路由）。
• 带手动审查的 API 文档工具：文档工具可帮助团队映射端点，但 Qodex 强调与代码和测试时效性挂钩的持续保障，而非静态文档更新。
• 通用测试自动化框架（手动编写）：此类工具有助于运行自动化测试，但通常要求团队自行编写和维护测试用例，而非像 Qodex 所述那样从纯英文生成测试并提交到 Git。