X
BLOG

Incorpore seguridad a su aplicación .NET

Incorpore seguridad a su aplicación .NET Tiempo de leer: 3 minutos
La última versión de dotTEST (10.4.1) introdujo mejoras significativas para ayudar a las organizaciones de desarrollo a entregar aplicaciones .NET seguras y confiables. Siga leyendo para obtener más información sobre cómo incorporar seguridad en el software .NET.

Como se discutió en el informe del Instituto SANS recientemente publicado, 2018 Secure DevOps: ¿realidad o ficción?, muchas organizaciones están sujetas a restricciones en torno a la privacidad y el acceso (por ejemplo, GDPR, PCI, PII), regulaciones federales y supervisión obligatoria. Con estos límites, para garantizar una estrategia DevSecOps exitosa, es fundamental integrar las pruebas de seguridad automatizadas en los flujos de trabajo de desarrollo:

El escaneo continuo de vulnerabilidades puede (y debe estar) integrado en las canalizaciones de construcción / implementación automatizadas en integración continua y entrega continua para detectar problemas tan pronto como se presenten.

- 2018 Secure DevOps: ¿Realidad o ficción?

El informe también destaca que más del 50% de las organizaciones encuestadas consideran las aplicaciones heredadas existentes como arriesgado, lo que representa más del 14% de las infracciones, con un número significativo de aplicaciones que aprovechan .NET (más del 30% de los encuestados).

La última versión de dotTEST se centra en ayudar a las organizaciones a mitigar los riesgos comerciales inherentes a las aplicaciones actuales, abordando estos desafíos con capacidades de análisis estático ampliadas y la introducción de un nuevo Paquete de cumplimiento de seguridad que brinda informes de cumplimiento para OWASP, CWE y UL-2900 a. Equipos de desarrollo .NET.

Soporte ampliado para estándares de seguridad

Esta versión amplía el soporte de Parasoft para los estándares de seguridad .NET más importantes con soporte completo para OWASP Top 10 y el soporte más amplio para CWE en la industria. Este soporte integral permite a los equipos crear seguridad dentro su proceso de calidad de software, ejecutando análisis de código profundo directamente dentro de Visual Studio, así como una parte de la canalización de CI / CD a través de la interfaz de línea de comandos y complementos de CI (disponibles para Jenkins, Bamboo, TeamCity y Azure DevOps).

Al observar OWASP Top 10, por ejemplo, el soporte integral de Parasoft ayuda a los usuarios a lograr el cumplimiento de la recomendación al hacer cumplir la seguridad desde el inicio del desarrollo y durante todo el ciclo de vida del software al:

  • Configuraciones de políticas / pruebas listas para usar que son completamente configurables.
  • Ejecución desde el IDE y mediante el proceso de CI / CD para ayudar a localizar rápidamente la vulnerabilidad antes en el SDLC.
  • Orientación sobre cómo solucionar las vulnerabilidades con documentación y material de formación compatibles.
  • Paneles de control, widgets e informes de cumplimiento que implementan el marco de evaluación de riesgos de OWASP.
  • Correlación de vulnerabilidades de aplicaciones (AVC) con métricas de cumplimiento en tiempo real que muestran qué tan bien lo está haciendo para lograr el cumplimiento con OWASP.

Si su equipo está buscando en el CWE Top 25 como guía de seguridad, entonces el enfoque basado en políticas de Prasoft ayuda a su organización a alcanzar los objetivos de seguridad mientras garantiza una aplicación de políticas coherente y discreta. La infraestructura automatizada monitorea automáticamente el cumplimiento de las políticas para obtener visibilidad y auditabilidad.

De acuerdo con nuestro soporte para OWASP Top 10, las asignaciones CWE listas para usar de Parasoft significan que los usuarios no tienen que perder el tiempo tratando de averiguar qué comprobadores son para qué CWEs al configurar y al corregir, los usuarios siempre lo harán saber inherentemente en qué CWE se está trabajando porque los nombres del verificador de análisis estático lo indican.

Informar para demostrar el cumplimiento

Además de las nuevas reglas y configuraciones, el paquete de cumplimiento de seguridad incluye nuevos informes de cumplimiento para OWASP y CWE que incluyen:

  1. Resumen de cumplimiento - proporcionar un resumen del estado de cumplimiento frente a cada debilidad.
  2. Plan de detección de debilidad - proporcionar un marco configurable para asignar violaciones de análisis estático a debilidades específicas.
  3. Informe de desviación - proporcionar informes detallados para auditar las excepciones a las infracciones (es decir, supresiones).

Ejemplo de informe de cumplimiento para OWASP

Tablero y flujos de trabajo para facilitar el camino hacia el cumplimiento

El paquete de cumplimiento de seguridad también presenta nuevos paneles y widgets específicos de OWASP y CWE que ayudan a las organizaciones a agilizar el proceso de lograr (y mantener) el cumplimiento de manera eficiente. Mapeo de violaciones de análisis estático a OWASP Puntuación de riesgo y CWE's Impacto técnico y  Conceptos de desarrollo permite a las organizaciones comprender el nivel de riesgo en asociación con los estándares, junto con dónde reside exactamente el riesgo. Parasoft también proporciona un flujo de trabajo optimizado para navegar y priorizar las infracciones para garantizar que el equipo trabaje de la manera más eficaz.

Widgets que muestran el cumplimiento y las infracciones de OWASP, clasificados por riesgo

Widgets que muestran el cumplimiento y las infracciones de CWE categorizados por conceptos de desarrollo e impacto técnico

TL; DR

Muchos de los sistemas empresariales actuales se basan en la plataforma .NET, por lo que es fundamental que estas aplicaciones sean confiables y seguras para que las empresas tengan éxito. El reciente lanzamiento de Parasoft dotTEST presenta las capacidades clave necesarias para ayudar a los equipos de desarrollo de .NET a garantizar que sus aplicaciones sean seguras de manera confiable.

Escrito por

Mark Lambert

Mark, vicepresidente de productos de Parasoft, es responsable de garantizar que las soluciones de Parasoft brinden un valor real a las organizaciones que las adoptan. Mark ha estado con Parasoft desde 2004, trabajando con una amplia variedad de clientes de Global 2000, desde implementaciones de tecnología específicas hasta iniciativas de mejora de procesos SDLC más amplias.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.

Prueba Parasoft