Übersicht der Scan-API
Die Cert-IX Scan-API bietet programmatischen Zugriff auf 10 unternehmenstaugliche Sicherheits-Scan-Engines über eine einheitliche REST-API. Senden Sie Scans, empfangen Sie Echtzeit-Ergebnisse und integrieren Sie Schwachstellenbewertungen direkt in Ihre Workflows, CI/CD-Pipelines und Sicherheitsautomatisierungen.
Warum die Scan-API verwenden?
- Einheitliche Schnittstelle — Eine API für 10 branchenführende Scan-Engines
- Asynchrone Architektur — Senden Sie Scans und erhalten Sie Benachrichtigungen über Webhooks
- Unternehmensmaßstab — Entwickelt für Hochdurchsatz-Umgebungen mit Kafka-Verarbeitung
- Granulare Zugriffskontrolle — API-Schlüssel mit Bereichen, IP-Allowlisting und Limits pro Schlüssel
- Echtzeit-Benachrichtigungen — Webhooks mit HMAC-SHA256-Signaturverifizierung
- Wiederverwendbare Vorlagen — Konfigurationen speichern und mit einem API-Aufruf starten
- Vollständige Observierbarkeit — Nutzungsanalytik, Kontingent-Tracking und Aufrufprotokolle
Basis-URL
Alle Endpunkte sind erreichbar unter:
https://api.cert-ix.com/scan-api/api/v1
Alle Anfragen müssen HTTPS verwenden. HTTP-Verbindungen werden abgelehnt.
Verfügbare Scan-Engines
Die Scan-API unterstützt 10 professionelle Sicherheits-Engines, jede für einen spezifischen Bereich entwickelt:
| Engine | Typ | Anwendungsfall |
|---|---|---|
| Nmap | nmap | Netzwerk-Erkennung, Port-Scanning, Service-Erkennung, OS-Identifizierung |
| OWASP ZAP | zap | Dynamische Anwendungssicherheitstests (DAST), OWASP Top 10 |
| Trivy | trivy | Container-Schwachstellenanalyse, IaC-Fehlkonfigurationen, Secrets |
| Nuclei | nuclei | Template-basierte Schwachstellenerkennung für Tausende von CVEs |
| Nikto | nikto | Webserver-Scan für gefährliche Dateien, veraltete Software, Fehlkonfigurationen |
| SQLMap | sqlmap | Automatisierte SQL-Injection-Erkennung und -Tests |
| Wapiti | wapiti | Black-Box-Schwachstellenanalyse von Webanwendungen |
| theHarvester | harvester | OSINT — E-Mail-Sammlung, Subdomain-Enumeration, Metadaten |
| Sublist3r | sublist3r | Subdomain-Enumeration über Suchmaschinen und DNS-Dienste |
| Sentinel | sentinel | Proprietäre Multi-Engine-Orchestrierungsanalyse von Cert-IX mit Korrelation |
API-Übersicht
| Ressource | Endpunkt | Beschreibung |
|---|---|---|
| Scans | POST /scans | Neuen Scan einreichen |
GET /scans/:id | Scan-Status prüfen | |
GET /scans/:id/results | Ergebnisse abrufen | |
POST /scans/:id/cancel | Laufenden Scan abbrechen | |
GET /scans | Alle Scans auflisten | |
| Vorlagen | POST /scan-templates | Wiederverwendbare Vorlage erstellen |
POST /scan-templates/:id/launch | Scan aus Vorlage starten | |
GET /scan-templates | Vorlagen auflisten | |
| Webhooks | POST /webhooks | Webhook-Endpunkt registrieren |
POST /webhooks/:id/test | Test-Event senden | |
GET /webhooks/:id/deliveries | Zustellungsprotokolle einsehen | |
| Nutzung | GET /usage/summary | Aggregierte Nutzungsstatistiken |
GET /usage/history | Chronologische Nutzungsdaten | |
GET /usage/by-scan-type | Aufschlüsselung nach Engine | |
| API-Schlüssel | POST /api-keys | API-Schlüssel erstellen |
POST /api-keys/:id/rotate | Rotation mit Karenzzeit | |
DELETE /api-keys/:id | Schlüssel widerrufen |
Authentifizierung
Alle API-Anfragen erfordern einen API-Schlüssel, der über den X-API-Key-Header übertragen wird:
curl -X GET https://api.cert-ix.com/scan-api/api/v1/scans \
-H "X-API-Key: cix_sk_ihr_api_schluessel_hier"
API-Schlüssel unterstützen:
- Granulare Bereiche — Kontrollieren Sie genau, was jeder Schlüssel tun kann
- Einschränkungen nach Scan-Typ — Begrenzen Sie die Engines, die ein Schlüssel aufrufen kann
- IP-Allowlisting — Beschränken Sie die Nutzung auf bestimmte Quell-IPs
- Automatischer Ablauf — Legen Sie eine Lebensdauer für Schlüssel fest
- Unterbrechungsfreie Rotation — Karenzzeiten für einen nahtlosen Austausch
Mehr über Authentifizierung erfahren →
Sicherheit und Compliance
Die Scan-API ist für Unternehmenssicherheitsanforderungen konzipiert:
- TLS 1.3 — Alle Verbindungen mit modernem TLS verschlüsselt
- Post-Quanten-Kryptographie (PQC) — CRYSTALS-Kyber-Schlüsselaustausch, CRYSTALS-Dilithium-Signaturen
- HMAC-SHA256 — Webhook-Signaturverifizierung
- SHA-256-Schlüssel-Hashing — API-Schlüssel vor der Speicherung gehasht
- Mandanten-Isolation — Vollständige Datentrennung zwischen Organisationen
- Audit-Protokollierung — Jeder API-Aufruf über Kafka protokolliert (ANSSI, NIS2, DORA)
- Rate-Limiting — Konfigurierbare Limits pro Schlüssel, pro Minute/Stunde/Tag
Standard-Antwortformat
Alle Antworten folgen einer konsistenten JSON-Hülle:
Erfolg:
{
"success": true,
"data": { ... }
}
Fehler:
{
"success": false,
"error": "Lesbare Fehlermeldung",
"code": "MASCHINENLESBARER_CODE"
}
Rate-Limits
| Fenster | Standard | Konfigurierbarer Bereich |
|---|---|---|
| Pro Minute | 60 | 1 – 1.000 |
| Pro Stunde | 1.000 | 1 – 50.000 |
| Pro Tag | 10.000 | 1 – 500.000 |
Die Rate-Limit-Header sind in jeder Antwort enthalten:
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 42
X-RateLimit-Reset: 1709654460
Hilfe erhalten
- Dokumentation — Durchsuchen Sie die Anleitungen in diesem Abschnitt
- Bobby KI — Fragen Sie Bobby nach Hilfe bei Scan-Konfigurationen
- Support — Kontaktieren Sie [email protected]
- Statusseite — Prüfen Sie den Status unter status.cert-ix.com
Nächste Schritte:
- Erste Schritte → — Ihr erster Scan in unter 5 Minuten
- Authentifizierung → — API-Schlüsselverwaltung und Sicherheit
- Code-Beispiele → — Produktionsbereite Clients in Python, Go und Node.js