Empresa
Soporte

Incorpore seguridad a su aplicación .NET

por Mark Lambert

Febrero

3  min leer

La última versión de dotTEST (10.4.1) introdujo mejoras significativas para ayudar a las organizaciones de desarrollo a entregar aplicaciones .NET seguras y confiables. Siga leyendo para obtener más información sobre cómo incorporar seguridad en el software .NET.

Como se discutió en el informe del Instituto SANS recientemente publicado, 2018 Secure DevOps: ¿realidad o ficción?, muchas organizaciones están sujetas a restricciones en torno a la privacidad y el acceso (por ejemplo, GDPR, PCI, PII), regulaciones federales y supervisión obligatoria. Con estos límites, para garantizar una estrategia DevSecOps exitosa, es fundamental integrar las pruebas de seguridad automatizadas en los flujos de trabajo de desarrollo:

El escaneo continuo de vulnerabilidades puede (y debe estar) integrado en las canalizaciones de construcción / implementación automatizadas en integración continua y entrega continua para detectar problemas tan pronto como se presenten.

- 2018 Secure DevOps: ¿Realidad o ficción?

El informe también destaca que más del 50% de las organizaciones encuestadas consideran las aplicaciones heredadas existentes como arriesgado, lo que representa más del 14% de las infracciones, con un número significativo de aplicaciones que aprovechan .NET (más del 30% de los encuestados).

La última versión de dotTEST se centra en ayudar a las organizaciones a mitigar los riesgos comerciales inherentes a las aplicaciones actuales, abordando estos desafíos con capacidades de análisis estático ampliadas y la introducción de un nuevo Paquete de cumplimiento de seguridad que brinda informes de cumplimiento para OWASP, CWE y UL-2900 a. Equipos de desarrollo .NET.

Soporte ampliado para estándares de seguridad

Esta versión amplía el soporte de Parasoft para los estándares de seguridad .NET más importantes con soporte completo para OWASP Top 10 y el soporte más amplio para CWE en la industria. Este soporte integral permite a los equipos crear seguridad dentro su proceso de calidad de software, ejecutando análisis de código profundo directamente dentro de Visual Studio, así como una parte de la canalización de CI / CD a través de la interfaz de línea de comandos y complementos de CI (disponibles para Jenkins, Bamboo, TeamCity y Azure DevOps).

Al observar OWASP Top 10, por ejemplo, el soporte integral de Parasoft ayuda a los usuarios a lograr el cumplimiento de la recomendación al hacer cumplir la seguridad desde el inicio del desarrollo y durante todo el ciclo de vida del software al:

  • Configuraciones de políticas / pruebas listas para usar que son completamente configurables.
  • Ejecución desde el IDE y mediante el proceso de CI / CD para ayudar a localizar rápidamente la vulnerabilidad antes en el SDLC.
  • Orientación sobre cómo solucionar las vulnerabilidades con documentación y material de formación compatibles.
  • Paneles de control, widgets e informes de cumplimiento que implementan el marco de evaluación de riesgos de OWASP.
  • Correlación de vulnerabilidades de aplicaciones (AVC) con métricas de cumplimiento en tiempo real que muestran qué tan bien lo está haciendo para lograr el cumplimiento con OWASP.

Si su equipo está buscando en el CWE Top 25 como guía de seguridad, entonces el enfoque basado en políticas de Prasoft ayuda a su organización a alcanzar los objetivos de seguridad mientras garantiza una aplicación de políticas coherente y discreta. La infraestructura automatizada monitorea automáticamente el cumplimiento de las políticas para obtener visibilidad y auditabilidad.

De acuerdo con nuestro soporte para OWASP Top 10, las asignaciones CWE listas para usar de Parasoft significan que los usuarios no tienen que perder el tiempo tratando de averiguar qué comprobadores son para qué CWEs al configurar y al corregir, los usuarios siempre lo harán saber inherentemente en qué CWE se está trabajando porque los nombres del verificador de análisis estático lo indican.

Informar para demostrar el cumplimiento

Además de las nuevas reglas y configuraciones, el paquete de cumplimiento de seguridad incluye nuevos informes de cumplimiento para OWASP y CWE que incluyen:

  1. Resumen de cumplimiento - proporcionar un resumen del estado de cumplimiento frente a cada debilidad.
  2. Plan de detección de debilidad - proporcionar un marco configurable para asignar violaciones de análisis estático a debilidades específicas.
  3. Informe de desviación - proporcionar informes detallados para auditar las excepciones a las infracciones (es decir, supresiones).

Ejemplo de informe de cumplimiento para OWASP

Tablero y flujos de trabajo para facilitar el camino hacia el cumplimiento

El paquete de cumplimiento de seguridad también presenta nuevos paneles y widgets específicos de OWASP y CWE que ayudan a las organizaciones a agilizar el proceso de lograr (y mantener) el cumplimiento de manera eficiente. Mapeo de violaciones de análisis estático a OWASP Puntuación de riesgo y CWE's Impacto técnico y  Conceptos de desarrollo permite a las organizaciones comprender el nivel de riesgo en asociación con los estándares, junto con dónde reside exactamente el riesgo. Parasoft también proporciona un flujo de trabajo optimizado para navegar y priorizar las infracciones para garantizar que el equipo trabaje de la manera más eficaz.

Widgets que muestran el cumplimiento y las infracciones de OWASP, clasificados por riesgo

Widgets que muestran el cumplimiento y las infracciones de CWE categorizados por conceptos de desarrollo e impacto técnico

TL; DR

Muchos de los sistemas empresariales actuales se basan en la plataforma .NET, por lo que es fundamental que estas aplicaciones sean confiables y seguras para que las empresas tengan éxito. El reciente lanzamiento de Parasoft dotTEST presenta las capacidades clave necesarias para ayudar a los equipos de desarrollo de .NET a garantizar que sus aplicaciones sean seguras de manera confiable.

por Mark Lambert

Mark, vicepresidente de productos de Parasoft, es responsable de garantizar que las soluciones de Parasoft brinden un valor real a las organizaciones que las adoptan. Mark ha estado con Parasoft desde 2004, trabajando con una amplia variedad de clientes de Global 2000, desde implementaciones de tecnología específicas hasta iniciativas de mejora de procesos SDLC más amplias.

Suscríbete a nuestro boletín mensual

Publicación relacionada + Recursos

Texto a la izquierda: Maximización de la IA en el desarrollo de software: aprovechamiento de ChatGPT con Parasoft. A la derecha está la imagen de primer plano de un hombre sosteniendo un teléfono inteligente en el fondo. En primer plano hay un gráfico delineado en blanco con ChatGPT dentro de un círculo con un perfil humano delineado y una IA escrita en la ubicación del cerebro. Él
Blog Tiempo de leer: 5 minutos
Maximizando la IA en el desarrollo de software: aprovechando ChatGPT con Parasoft
Agregue análisis estático a su caja de herramientas de prueba
Blog Tiempo de leer: 12 minutos
Agregue análisis estático a su caja de herramientas de pruebas de seguridad
Texto a la izquierda: uso del análisis estático para lograr la seguridad por diseño para el RGPD. La imagen abstracta de la derecha muestra un círculo etiquetado como RGPD con líneas conectadas en red a aplicaciones protegidas representadas por círculos más pequeños con candados en el interior.
Blog Tiempo de leer: 10 minutos
Uso del análisis estático para lograr la seguridad por diseño para el RGPD

Publicación relacionada + Recursos

Texto a la izquierda: Maximización de la IA en el desarrollo de software: aprovechamiento de ChatGPT con Parasoft. A la derecha está la imagen de primer plano de un hombre sosteniendo un teléfono inteligente en el fondo. En primer plano hay un gráfico delineado en blanco con ChatGPT dentro de un círculo con un perfil humano delineado y una IA escrita en la ubicación del cerebro. Él
Blog Tiempo de leer: 5 minutos
Maximizando la IA en el desarrollo de software: aprovechando ChatGPT con Parasoft
Texto a la izquierda: Comprehensive Java Testing Made Simple With Jtest. A la derecha, se muestra una imagen abstracta con pequeños cuadrados azules conectados en el fondo y un círculo centrado en el primer plano con JAVA escrito en el medio.
Blog Tiempo de leer: 4 minutos
Pruebas completas de Java simplificadas con Jtest
Agregue análisis estático a su caja de herramientas de prueba
Blog Tiempo de leer: 12 minutos
Agregue análisis estático a su caja de herramientas de pruebas de seguridad

Publicación relacionada + Recursos

Texto a la izquierda: Cuándo simular código C/C++ de prueba unitaria. A la derecha hay una imagen abstracta que muestra unidades individuales de datos dispersas y conectadas entre sí a través de varias líneas.
Blog Tiempo de leer: 7 minutos
Cuándo simular la prueba unitaria del código C / C ++
Texto a la izquierda: Maximización de la IA en el desarrollo de software: aprovechamiento de ChatGPT con Parasoft. A la derecha está la imagen de primer plano de un hombre sosteniendo un teléfono inteligente en el fondo. En primer plano hay un gráfico delineado en blanco con ChatGPT dentro de un círculo con un perfil humano delineado y una IA escrita en la ubicación del cerebro. Él
Blog Tiempo de leer: 5 minutos
Maximizando la IA en el desarrollo de software: aprovechando ChatGPT con Parasoft
Texto a la izquierda: Comprehensive Java Testing Made Simple With Jtest. A la derecha, se muestra una imagen abstracta con pequeños cuadrados azules conectados en el fondo y un círculo centrado en el primer plano con JAVA escrito en el medio.
Blog Tiempo de leer: 4 minutos
Pruebas completas de Java simplificadas con Jtest

Publicación relacionada + Recursos

Texto a la izquierda: Maximización de la IA en el desarrollo de software: aprovechamiento de ChatGPT con Parasoft. A la derecha está la imagen de primer plano de un hombre sosteniendo un teléfono inteligente en el fondo. En primer plano hay un gráfico delineado en blanco con ChatGPT dentro de un círculo con un perfil humano delineado y una IA escrita en la ubicación del cerebro. Él
Blog Tiempo de leer: 5 minutos
Maximizando la IA en el desarrollo de software: aprovechando ChatGPT con Parasoft
Texto a la izquierda: API ROI: maximice el ROI de las soluciones de pruebas de API automatizadas. La imagen de la derecha muestra la rueda de procesos automatizados continuos con el retorno de la inversión de ROI en la parte superior.
Blog Tiempo de leer: 9 minutos
API ROI: maximice el ROI de las soluciones de pruebas de API automatizadas
Pros y contras de la IA generativa en las pruebas de software con gráficos robóticos faciales a la derecha
Webinar Regístrese ahora: 21 de junio
Pros y contras de la IA generativa en las pruebas de software

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.