Seminario web destacado: MISRA C++ 2023: todo lo que necesita saber | Vea ahora

Construyendo el puente entre el desarrollo y AppSec

Logotipo del cubo de Parasoft 300x300
28 de Octubre de 2021
2 min leer

¿Su equipo de desarrollo se ve obstaculizado por las revisiones de AppSec del “Equipo rojo” que retrasan la entrega o la implementación debido a rechazos y reelaboraciones aparentemente interminables debido a auditorías de seguridad fallidas?

Parasoft tiene una solución para el paradigma Nosotros vs. Ellos que prevalece en muchas organizaciones en la actualidad. Nuestro nuevo pruebas de seguridad de aplicaciones dinámicas (DAST) la oferta se integra a la perfección Parasoft SOAtest con OWASP ZAP para proporcionar sus pruebas funcionales actuales con pruebas de penetración, incluido el fuzzing de verbos.

Documento técnico: Guía de seguridad API

Por supuesto, algunos equipos de desarrollo pueden adoptar una postura de "la seguridad no es mi trabajo" al respecto. Pero la seguridad debe ser una preocupación de todos, en cada etapa del SDLC. Si el código del desarrollo no puede pasar las pruebas de seguridad de la aplicación y se envía de nuevo al desarrollo para su corrección, rápidamente se convierte en el trabajo del desarrollo.

¿No podemos llevarnos todos bien?

Para crear armonía en esta situación, Parasoft facilitó aún más cambiar a la izquierda las pruebas de los principales riesgos de seguridad. Los equipos pueden agregar pruebas de seguridad de API a los conjuntos de pruebas existentes con solo unos pocos clics. Cuando el equipo de desarrollo ejecuta las pruebas funcionales de la API, también puede reutilizar las mismas pruebas para las pruebas de seguridad de la API. Un informe codificado por colores resumirá los hallazgos para que los desarrolladores puedan resolver cualquier defecto.

Desplazamiento a la izquierda Pruebas de seguridad de la API

En el conocido obra de alcaparras jones en 1996, cuantificó el aumento de costos para reparar defectos en etapas posteriores del SDLC. Esta investigación sigue siendo relevante hoy en día, solo los equipos lo están haciendo más rápido ahora gracias a Agile. De aquí es de donde proviene el término “cambio a la izquierda” cuando los equipos de desarrollo de software buscan prevenir y reparar defectos al principio del ciclo donde cuesta mucho menos arreglarlos.

Gráfico que muestra el porcentaje de defectos en el eje x y las etapas de SDLC en el eje y. El costo aumenta para corregir los defectos a medida que avanzan las etapas hasta el lanzamiento.

Anime a su organización a adoptar el enfoque de cambio a la izquierda para las pruebas de seguridad de API para brindar a los equipos de desarrollo la capacidad de detectar y resolver los riesgos de seguridad durante la fase de desarrollo. Cuando los equipos de AppSec o DevSecOps realizan pruebas de seguridad y penetración, los evaluadores de penetración pueden aprovechar las ventajas de Parasoft Herramienta de prueba de seguridad API para probar la funcionalidad de la API. Así es cómo:

  • Utilice el conjunto de pruebas API actual para pruebas funcionales y de seguridad con la nueva integración DAST.
  • Si aún no existe un conjunto de pruebas de API, utilice el generador de pruebas de API inteligente de Parasoft SOAtest para crear nuevas pruebas de forma rápida y sencilla.
  • Los equipos que ya usan OWASP ZAP también pueden reutilizar políticas de implementaciones existentes, incluso personalizadas.

Cualquiera que sea la forma en que los equipos utilicen la solución de seguridad de API de Parasoft, pueden aprovechar fácilmente las pruebas funcionales de API para las pruebas de seguridad de API y aumentar la cobertura general de las pruebas de aplicaciones.

Para cualquier situación, la solución DAST de Parasoft es ideal. Vea el video de demostración de pruebas de seguridad de API para ver lo fácil que es agregar pruebas de penetración de seguridad de API a las pruebas funcionales existentes.

¡Vea Parasoft SOAtest en acción! Solicite una demostración.