Construyendo el puente entre el desarrollo y AppSec

¿Su equipo de desarrollo se ve obstaculizado por las revisiones de AppSec del "Equipo Rojo" que retrasan la entrega o la implementación debido a rechazos y repeticiones aparentemente interminables a causa de auditorías de seguridad fallidas?

Parasoft tiene una solución para el paradigma Nosotros vs. Ellos que prevalece en muchas organizaciones en la actualidad. Nuestro nuevo pruebas de seguridad de aplicaciones dinámicas (DAST) la oferta se integra a la perfección Parasoft SOAtest con OWASP ZAP para proporcionar sus pruebas funcionales actuales con pruebas de penetración, incluido el fuzzing de verbos.

Claro, algunos equipos de desarrollo pueden adoptar una postura de que "la seguridad no es mi responsabilidad". Pero la seguridad debería ser una preocupación de todos, en cada etapa del ciclo de vida del desarrollo de software (SDLC). Si el código de desarrollo no supera las pruebas de seguridad de la aplicación y se devuelve a desarrollo para su corrección, rápidamente se convierte en responsabilidad de desarrollo.

¿No podemos llevarnos todos bien?

Para crear armonía en esta situación, Parasoft facilitó aún más cambiar a la izquierda las pruebas de los principales riesgos de seguridad. Los equipos pueden agregar pruebas de seguridad de API a los conjuntos de pruebas existentes con solo unos pocos clics. Cuando el equipo de desarrollo ejecuta las pruebas funcionales de la API, también puede reutilizar las mismas pruebas para las pruebas de seguridad de la API. Un informe codificado por colores resumirá los hallazgos para que los desarrolladores puedan resolver cualquier defecto.

Desplazamiento a la izquierda Pruebas de seguridad de la API

En el conocido trabajo de Capers Jones de 1996, se cuantificó el aumento del coste de reparación de defectos en etapas posteriores del ciclo de vida del desarrollo de software (SDLC). Esta investigación sigue vigente hoy en día; solo que los equipos lo hacen más rápido ahora gracias a la metodología Agile. De ahí proviene el término "desplazamiento a la izquierda", que se refiere a cuando los equipos de desarrollo de software buscan prevenir y reparar defectos en las primeras etapas del ciclo, donde su reparación es mucho más económica.

Anime a su organización a adoptar el enfoque de cambio a la izquierda para las pruebas de seguridad de API para brindar a los equipos de desarrollo la capacidad de detectar y resolver los riesgos de seguridad durante la fase de desarrollo. Cuando los equipos de AppSec o DevSecOps realizan pruebas de seguridad y penetración, los evaluadores de penetración pueden aprovechar las ventajas de Parasoft Herramienta de prueba de seguridad API para probar la funcionalidad de la API. Así es cómo:

• Utilice el conjunto de pruebas API actual para pruebas funcionales y de seguridad con la nueva integración DAST.
• Si aún no existe un conjunto de pruebas de API, utilice el generador de pruebas de API inteligente de Parasoft SOAtest para crear nuevas pruebas de forma rápida y sencilla.
• Los equipos que ya usan OWASP ZAP también pueden reutilizar políticas de implementaciones existentes, incluso personalizadas.

Cualquiera que sea la forma en que los equipos utilicen la solución de seguridad de API de Parasoft, pueden aprovechar fácilmente las pruebas funcionales de API para las pruebas de seguridad de API y aumentar la cobertura general de las pruebas de aplicaciones.

Para cualquier situación, la solución DAST de Parasoft es ideal. Vea el video de demostración de pruebas de seguridad de API para ver lo fácil que es agregar pruebas de penetración de seguridad de API a las pruebas funcionales existentes.