"Ferramentas de teste de segurança de APIs" cobre três trabalhos distintos que costumam ser misturados: escanear seu código, escanear sua API em execução e vigiá-la em produção. Nenhuma ferramenta faz as três bem — a resposta certa costuma ser um stack pequeno, não um único produto.
As três camadas (por que você precisa de mais de uma)
- SAST / estático — analisa o código-fonte. Detecta cedo, mas não sabe como o app publicado se comporta.
- DAST / dinâmico — testa a API em execução de fora, como um atacante. Detecta misconfigurações reais.
- Monitoramento em runtime — vigia a API ao vivo por ataques em curso (ondas de erros de auth). Detecta o que o teste não vê: o ataque das 3h.
Comparação
| Ferramenta | Tipo | O que detecta | Preço |
|---|---|---|---|
| OWASP ZAP | DAST | Vulns web/API em execução | Grátis (open source) |
| Burp Suite | Proxy + DAST | Pentesting manual profundo | Grátis / Pro pago |
| 42Crunch | Auditoria de spec | Problemas de segurança em OpenAPI | Free tier / pago |
| StackHawk | DAST em CI | Escaneamentos dinâmicos no pipeline | Free tier / pago |
| Snyk | SAST + SCA | Dependências vulneráveis | Free tier / pago |
| Nurbak | Scan + runtime | Segredos expostos, sem auth, headers; anomalias em prod | Scan grátis |
Teste não é monitoramento
Todas as de cima rodam antes do deploy. Nenhuma vigia quando um atacante começa a martelar /api/login na terça. Isso é o que o monitoramento em runtime cobre.
O Nurbak cobre as duas pontas: escaneia sua API publicada (segredos, auth, misconfigurações) e o Nurbak Watch monitora as taxas de erro por endpoint — um spike de 401/403/400 avisa você em segundos.
Stack recomendado
- Grátis: OWASP ZAP + gitleaks + Snyk free.
- Time: StackHawk ou 42Crunch no CI + Nurbak para escanear o app publicado e monitoramento em runtime.