Panoramica dell'API Scan
L'API Scan di Cert-IX fornisce accesso programmatico a 10 motori di scansione di sicurezza di livello enterprise attraverso un'API REST unificata. Inviate scansioni, ricevete risultati in tempo reale e integrate le valutazioni delle vulnerabilità direttamente nei vostri workflow, pipeline CI/CD e automazioni di sicurezza.
Perché usare l'API Scan?
- Interfaccia unificata — Una singola API per 10 motori di scansione di riferimento
- Architettura asincrona — Inviate scansioni e ricevete notifiche tramite webhook
- Scala enterprise — Progettata per ambienti ad alto throughput con elaborazione Kafka
- Controllo degli accessi granulare — Chiavi API con scope, allowlisting IP e limiti per chiave
- Notifiche in tempo reale — Webhook con verifica della firma HMAC-SHA256
- Template riutilizzabili — Salvate configurazioni e lanciate con una singola chiamata API
- Osservabilità completa — Analytics di utilizzo, monitoraggio quote e log delle chiamate
URL base
Tutti gli endpoint sono disponibili su:
https://api.cert-ix.com/scan-api/api/v1
Tutte le richieste devono utilizzare HTTPS. Le connessioni HTTP vengono rifiutate.
Motori di scansione disponibili
L'API Scan supporta 10 motori di sicurezza professionali, ciascuno progettato per un dominio specifico:
| Motore | Tipo | Caso d'uso |
|---|---|---|
| Nmap | nmap | Scoperta di rete, scansione porte, rilevamento servizi, identificazione OS |
| OWASP ZAP | zap | Test dinamici di sicurezza applicativa (DAST), OWASP Top 10 |
| Trivy | trivy | Analisi vulnerabilità container, misconfigurazioni IaC, segreti |
| Nuclei | nuclei | Rilevamento vulnerabilità basato su template per migliaia di CVE |
| Nikto | nikto | Scansione server web per file pericolosi, software obsoleto, misconfigurazioni |
| SQLMap | sqlmap | Rilevamento e test automatizzati di SQL injection |
| Wapiti | wapiti | Analisi vulnerabilità applicazioni web black-box |
| theHarvester | harvester | OSINT — raccolta email, enumerazione sottodomini, metadati |
| Sublist3r | sublist3r | Enumerazione sottodomini tramite motori di ricerca e servizi DNS |
| Sentinel | sentinel | Analisi orchestrata multi-motore proprietaria di Cert-IX con correlazione |
Riepilogo dell'API
| Risorsa | Endpoint | Descrizione |
|---|---|---|
| Scansioni | POST /scans | Inviare una nuova scansione |
GET /scans/:id | Verificare lo stato di una scansione | |
GET /scans/:id/results | Ottenere i risultati | |
POST /scans/:id/cancel | Annullare una scansione in corso | |
GET /scans | Elencare tutte le scansioni | |
| Template | POST /scan-templates | Creare un template riutilizzabile |
POST /scan-templates/:id/launch | Lanciare una scansione da un template | |
GET /scan-templates | Elencare i template | |
| Webhook | POST /webhooks | Registrare un endpoint webhook |
POST /webhooks/:id/test | Inviare un evento di test | |
GET /webhooks/:id/deliveries | Consultare i log di consegna | |
| Utilizzo | GET /usage/summary | Statistiche di utilizzo aggregate |
GET /usage/history | Dati di utilizzo cronologici | |
GET /usage/by-scan-type | Dettaglio per motore | |
| Chiavi API | POST /api-keys | Creare una chiave API |
POST /api-keys/:id/rotate | Rotazione con periodo di grazia | |
DELETE /api-keys/:id | Revocare una chiave |
Autenticazione
Tutte le richieste API richiedono una chiave API trasmessa tramite l'header X-API-Key:
curl -X GET https://api.cert-ix.com/scan-api/api/v1/scans \
-H "X-API-Key: cix_sk_la_vostra_chiave_api_qui"
Le chiavi API supportano:
- Scope granulari — Controllate esattamente cosa ogni chiave può fare
- Restrizioni per tipo di scansione — Limitate i motori che una chiave può invocare
- Allowlisting IP — Limitate l'uso a IP sorgente specifici
- Scadenza automatica — Impostate una durata di vita per le chiavi
- Rotazione senza interruzioni — Periodi di grazia per una sostituzione trasparente
Maggiori informazioni sull'autenticazione →
Sicurezza e conformità
L'API Scan è progettata per soddisfare i requisiti di sicurezza enterprise:
- TLS 1.3 — Tutte le connessioni crittografate con TLS moderno
- Crittografia post-quantistica (PQC) — Scambio chiavi CRYSTALS-Kyber, firme CRYSTALS-Dilithium
- HMAC-SHA256 — Verifica della firma dei webhook
- Hashing SHA-256 delle chiavi — Chiavi API hashate prima dell'archiviazione
- Isolamento dei tenant — Separazione completa dei dati tra organizzazioni
- Registrazione di audit — Ogni chiamata API registrata tramite Kafka (ANSSI, NIS2, DORA)
- Limitazione della velocità — Limiti configurabili per chiave, per minuto/ora/giorno
Formato di risposta standard
Tutte le risposte seguono un wrapper JSON coerente:
Successo:
{
"success": true,
"data": { ... }
}
Errore:
{
"success": false,
"error": "Messaggio di errore leggibile",
"code": "CODICE_LEGGIBILE_DALLA_MACCHINA"
}
Limiti di velocità
| Finestra | Predefinito | Intervallo configurabile |
|---|---|---|
| Per minuto | 60 | 1 – 1.000 |
| Per ora | 1.000 | 1 – 50.000 |
| Per giorno | 10.000 | 1 – 500.000 |
Gli header di limite di velocità sono inclusi in ogni risposta:
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 42
X-RateLimit-Reset: 1709654460
Ottenere aiuto
- Documentazione — Esplorate le guide in questa sezione
- Bobby IA — Chiedete a Bobby aiuto con le configurazioni di scansione
- Supporto — Contattate [email protected]
- Pagina di stato — Verificate lo stato su status.cert-ix.com
Prossimi passi:
- Per iniziare → — La vostra prima scansione in meno di 5 minuti
- Autenticazione → — Gestione chiavi API e sicurezza
- Esempi di codice → — Client pronti per la produzione in Python, Go e Node.js