Qodex

Qodex 是什麼？

Qodex 是「API 保證層」，從程式碼庫開始建立組織 API 的記錄系統，並持續確保 API 可見度、行為與安全性狀態。

其目標是彌補團隊依賴獨立工具進行 API 發現、掃描與編錄時常見的缺口。Qodex 專注於這些工具無法看見的部分，例如內部、影子以及「已死但可呼叫」的端點，並隨著 API 隨時間漂移而更新文件與測試涵蓋率。

主要功能

• 從程式碼發現 API：連接程式碼庫產生端點地圖，包括閘道與現有編錄可能遺漏的內部、影子以及「已死但可呼叫」路由。
• 從純英文產生測試：以純英文描述測試意圖；Qodex 產生多步驟測試情境並輸出測試程式碼。
• 測試作為版本控制程式碼：產生的測試透明、可編輯，並提交至 Git，可在 Qodex、CI/CD 或使用者自身基礎設施執行。
• 持續狀態可見度：從單一控制台追蹤擁有權、測試新穎度、涵蓋缺口與安全性狀態，並顯示目前狀態。
• CI 中的 OWASP 對齊安全檢查：在標準 CI 管線中，與功能測試一同執行「十大」安全斷言，旨在於生產前攔截安全問題。
• 程式碼庫與 CI/CD 整合：整合 GitHub、GitLab、Bitbucket 與 CI/CD 管線工作流程，而非取代現有工具。

如何使用 Qodex

1. 連接程式碼庫，讓 Qodex 從 API 原始碼發現端點。
2. 檢視發現的 API 表面，了解 Qodex 擷取的端點涵蓋率、擁有權與資料敏感度。
3. 產生並維護測試，以純英文描述所需檢查；Qodex 產生測試程式碼並提交至 Git 程式碼庫。
4. 在工作流程中執行測試，於 Qodex、CI/CD 或自身基礎設施執行測試。
5. 使用持續回報與警示，監控測試結果與安全斷言，並察覺 API 行為或安全性狀態變更。

使用情境

• 建立最新 API 清單：回答「我們有多少個 API？」透過直接從程式碼庫發現端點，包括內部與影子路由。
• 發覺發行後涵蓋漂移：辨識哪些 API 已變更，以及測試與文件是否跟上，降低「安全」的結構描述或行為變更破壞下游客戶端的風險。
• 產生資料驅動的安全回應：快速判斷哪些端點處理 PII 或符合安全需求，而非依賴過時 wiki 或手動調查。
• 大規模自動化回歸與安全測試：持續驗證生產工作負載的功能/回歸與安全斷言，安全檢查對齊 OWASP 分類。
• 從手動腳本轉向 repo 中的測試：消除手動測試腳本，產生可編輯、版本控制的測試，可在 CI/CD 執行。

常見問題

• Qodex 發現什麼？ Qodex 從程式碼庫發現 API 端點，包括內部、影子以及「已死但可呼叫」的路由，這些可能未出現在閘道或現有編錄中。

• 測試如何建立？ Qodex 從純英文描述產生測試，並輸出可提交至 Git 的測試程式碼。

• 產生的測試可在何處執行？ 網站指出測試可在 Qodex、CI/CD 或使用者自身基礎設施執行。

• Qodex 包含安全測試嗎？ 是。Qodex 在 CI 管線中與功能測試一同執行 OWASP 對齊的安全檢查，描述為每個建置的「十大安全斷言」。

• 支援哪些整合？ Qodex 整合 GitHub、GitLab、Bitbucket 與 CI/CD 管線工作流程。

替代方案

• API 掃描器與漏洞管理工具：這些工具可能著重於執行時發現或已知漏洞類別，但通常不會如 Qodex 所述，在相同的統一工作流程中從程式碼產生版本控制的功能/安全性測試。
• API 閘道與 API 目錄：閘道與目錄可提供其擷取路由的可見度，但 Qodex 明確針對這些系統可能遺漏的端點（例如，內部/陰影/已死但可呼叫的路由）。
• 需手動審核的 API 文件工具：文件工具可協助團隊對映端點，但 Qodex 強調與程式碼及測試新穎度連結的持續保證，而非靜態文件更新。
• 通用測試自動化框架（手動撰寫）：此類工具有助於執行自動化測試，但通常要求團隊自行撰寫與維護測試案例，而非如 Qodex 所述，從純英文產生測試並提交至 Git。