¡ASTQ Summit está disponible bajo demanda! Escuche a los líderes de la industria compartir cómo están brindando calidad continua. Míralo ahora >>

X
BLOG

Construyendo el puente entre el desarrollo y AppSec

Construyendo el puente entre el desarrollo y AppSec Tiempo de leer: 2 minutos

¿Su equipo de desarrollo se ve obstaculizado por las revisiones de AppSec del “Equipo rojo” que retrasan la entrega o la implementación debido a rechazos y reelaboraciones aparentemente interminables debido a auditorías de seguridad fallidas?

Parasoft tiene una solución para el paradigma Nosotros vs. Ellos que prevalece en muchas organizaciones en la actualidad. Nuestro nuevo pruebas de seguridad de aplicaciones dinámicas (DAST) la oferta se integra a la perfección Parasoft SOAtest con OWASP ZAP para proporcionar sus pruebas funcionales actuales con pruebas de penetración, incluido el fuzzing de verbos.

Documento técnico: Guía de seguridad API

Por supuesto, algunos equipos de desarrollo pueden adoptar una postura de "la seguridad no es mi trabajo" al respecto. Pero la seguridad debe ser una preocupación de todos, en cada etapa del SDLC. Si el código del desarrollo no puede pasar las pruebas de seguridad de la aplicación y se envía de nuevo al desarrollo para su corrección, rápidamente se convierte en el trabajo del desarrollo.

¿No podemos llevarnos todos bien?

Para crear armonía en esta situación, Parasoft facilitó aún más el cambio a la izquierda de las pruebas para los principales riesgos de seguridad. Los equipos pueden agregar Pruebas de seguridad API a conjuntos de pruebas existentes con solo unos pocos clics. Cuando el equipo de desarrollo ejecuta las pruebas funcionales de la API, también pueden reutilizar las mismas pruebas para las pruebas de seguridad de la API. Un informe codificado por colores resumirá los hallazgos para que los desarrolladores puedan resolver cualquier defecto.

Shift Left API Security Testing

En el conocido obra de alcaparras jones en 1996, cuantificó el aumento de costos para reparar defectos en etapas posteriores del SDLC. Esta investigación sigue siendo relevante hoy en día, solo los equipos lo están haciendo más rápido ahora gracias a Agile. De aquí es de donde proviene el término “cambio a la izquierda” cuando los equipos de desarrollo de software buscan prevenir y reparar defectos al principio del ciclo donde cuesta mucho menos arreglarlos.

Gráfico que muestra el porcentaje de defectos en el eje x y las etapas de SDLC en el eje y. El costo aumenta para corregir los defectos a medida que avanzan las etapas hasta el lanzamiento.

Anime a su organización a adoptar el enfoque de cambio a la izquierda para las pruebas de seguridad de API para brindar a los equipos de desarrollo la capacidad de detectar y resolver riesgos de seguridad durante la fase de desarrollo. Cuando los equipos de AppSec o DevSecOps realizan pruebas de seguridad y penetración, los probadores de lápiz pueden aprovechar la solución de seguridad API de Parasoft para probar la funcionalidad de la API. Así es cómo:

  • Utilice el conjunto de pruebas API actual para pruebas funcionales y de seguridad con la nueva integración DAST.
  • Si aún no existe un conjunto de pruebas de API, utilice el generador de pruebas de API inteligente de Parasoft SOAtest para crear nuevas pruebas de forma rápida y sencilla.
  • Los equipos que ya usan OWASP ZAP también pueden reutilizar políticas de implementaciones existentes, incluso personalizadas.

De cualquier forma que los equipos pongan Solución de seguridad API de Parasoft de usar, pueden aprovechar fácilmente las pruebas funcionales de la API para las pruebas de seguridad de la API y aumentar la cobertura general de las pruebas de la aplicación.

Para cualquier situación, la solución DAST de Parasoft es ideal. Vea el video de demostración de pruebas de seguridad de API para ver lo fácil que es agregar pruebas de penetración de seguridad de API a las pruebas funcionales existentes.

¡Vea Parasoft SOAtest en acción! Solicite una demostración.

Escrito por

Jeffrey Peeples

Jeff Peeples es un Gerente de Producto Senior en Parasoft, liderando la dirección de la plataforma funcional para SOAtest, Virtualize y CTP. Jeff tiene una amplia experiencia en la definición de soluciones y el desarrollo de hojas de ruta para las industrias empresariales, incluidas la energía, las tecnologías financieras y los viajes / hotelería.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.