JS Hazlo..... Automatización precisa de pruebas de seguridad para desarrolladores

Rate this content
Bookmark

El escáner de seguridad amigable para desarrolladores de NeuraLegion permite a los equipos de desarrollo ejecutar pruebas de seguridad precisas en cada compilación como parte de su pipeline. Las alertas falsas y los resultados periódicos de escaneo infrecuentes resultan en deuda técnica y de seguridad, así como en productos inseguros. Pero, ¿qué es DAST primero para desarrolladores, cuándo y cómo debes integrarlo en tus pipelines y qué debes buscar al mejorar tu automatización de pruebas de seguridad? Únete a esta charla para estar al día.

10 min
18 Nov, 2021

Video Summary and Transcription

Neuralegions es un escáner de pruebas de seguridad de aplicaciones dinámicas diseñado para desarrolladores. Te permite construir la superficie de escaneo desde las primeras pruebas unitarias, integrándose perfectamente en tus pipelines. Sin falsos positivos, puedes confiar en la salida para detectar y solucionar rápidamente las vulnerabilidades de seguridad. Eurolegion proporciona una cobertura integral, compatible con aplicaciones web, aplicaciones internas y APIs. Puede manejar contenido dinámico del lado del cliente e integrarse con scripts funcionales existentes. Los escaneos son rápidos y pueden detectar vulnerabilidades en la lógica empresarial. Los escaneos autenticados son totalmente compatibles. El mayor problema con los escáneres de seguridad es la precisión. Los desarrolladores quieren conocer problemas reales, no exageraciones. Neuralegion se enfoca en eliminar los falsos positivos automáticamente. Valida cada hallazgo con una prueba de concepto completa, eliminando la necesidad de validación manual. Se proporciona visibilidad completa de problemas recurrentes y nuevos, junto con pautas de remedio amigables para los desarrolladores. Neuralegion se integra perfectamente en tu pipeline, permitiendo a los desarrolladores desplazarse hacia la izquierda y escanear cada confirmación o solicitud de extracción.

Available in English

1. Introducción a Neuralegions y Eurolegion

Short description:

Neuralegions es un escáner dinámico de pruebas de seguridad de aplicaciones diseñado para desarrolladores. Te permite construir la superficie de escaneo desde las primeras pruebas unitarias, integrándose perfectamente en tus canalizaciones. Sin falsos positivos, puedes confiar en los resultados para detectar y solucionar rápidamente las vulnerabilidades de seguridad. Eurolegion ofrece una cobertura integral, compatible con aplicaciones web, aplicaciones internas y APIs. Puede manejar contenido dinámico del lado del cliente e integrarse con scripts funcionales existentes. Los escaneos son rápidos y pueden detectar vulnerabilidades en la lógica empresarial. Los escaneos autenticados son totalmente compatibles.

♪ Hola, TestJS. Soy Oli, VP aquí en Neuralegions, un escáner de pruebas de seguridad de aplicaciones dinámicas enfocado en desarrolladores. Gracias por unirte mientras discutimos la automatización precisa de las pruebas de seguridad para desarrolladores en CI-CD.

Ahora una breve introducción a Neuralegions. Somos un equipo global de expertos e investigadores en seguridad que creamos el mejor escáner de pruebas de seguridad de aplicaciones dinámicas diseñado para ser amado por los desarrolladores para probar tus aplicaciones, tus APIs, pero lo más importante, también para ser confiable por tu seguridad.

Estás lanzando software más rápido que nunca y la seguridad necesita mantenerse al día y este proceso debe ser responsabilidad tuya, de los desarrolladores. Te permitimos construir la superficie de escaneo desde las primeras pruebas unitarias, ejecutando pruebas en cada compilación o cada solicitud de extracción. Esto se integra perfectamente en tus canalizaciones, pero lo más importante, sin falsos positivos, para que puedas confiar en los resultados para detectar y solucionar rápidamente las vulnerabilidades de seguridad de manera realmente rápida y realmente sencilla. Echemos un vistazo a lo que hay debajo del capó. Así que sí, tenemos una interfaz de usuario agradable para que los expertos en seguridad jueguen y configuren los escaneos manualmente. Pero estamos diseñados para que los desarrolladores sean dueños del proceso de pruebas de seguridad, como mencioné, y si te registras en nuestra cuenta gratuita, verás esta interfaz de usuario muy, muy agradable. Pero también notarás de inmediato que puedes ejecutar escaneos a través del repetidor de la CLI, instalado por Docker Compose, NPM, Win, y realmente puedes configurar tus escaneos como código. Con una configuración basada en archivos YAML global integrada en tu CI/CD. Para obtener más información, puedes consultar nuestra documentación para obtener una lista completa de comandos. Así que puedes seguir en tu terminal para administrar estos escaneos.

Entonces, ¿cómo puedes comenzar a automatizar tus pruebas de seguridad hoy? Bueno, en cuanto a la cobertura, te tenemos cubierto. Con Eurolegion, puedes comenzar a escanear cada compilación en busca de vulnerabilidades de seguridad como parte de tu CI, ya sea contra tus aplicaciones web, tus aplicaciones internas o incluso contra tus APIs, ya sea REST, SOAP o incluso GraphQL. Microservices y aplicaciones de una sola página son totalmente compatibles, ya sea que apuntes nuestro escáner a una URL local o, de hecho, a una URL de producción, ya sea que estemos ingiriendo tus esquemas de API o, de hecho, colecciones de Postman, o si estás cargando tus archivos de archivo HTTP, tus archivos HA, en nuestro motor. Esto significa que realmente puedes definir el alcance de la prueba de seguridad, tal vez contra un único punto de entrada o un único punto final, o contra una nueva función específica que acabas de crear. Estos métodos de descubrimiento se pueden ejecutar por separado o, de hecho, de manera concurrente, lo que significa que puedes manejar contenido dinámico del lado del cliente, JavaScript, y más. ¿Estás utilizando Selenium o, de hecho, Cypress, por ejemplo? Bueno, puedes comenzar a aprovechar esos scripts funcionales existentes y comenzar a escanear con estos archivos de medio tiempo. Esto significa que tus desarrolladores y QA ahora pueden trabajar juntos, tratando los errores de seguridad como los errores funcionales sin necesidad de ser expertos en ciberseguridad. De cualquier manera, los escaneos son rápidos, se ejecutan en minutos u horas, no en días, manteniendo tu velocidad de DevOps. Sin embargo, cuanto más puedas encontrar y solucionar, mejor. Tenemos una lista completa de categorías de pruebas que cubren los diez principales de OS, los diez principales de API de OS, los MITRE25 y más. Además, nuestro motor comprende el contexto, comprende las respuestas que estamos obteniendo del servidor de aplicaciones. Y realmente podemos usar esto para probar vulnerabilidades en la lógica empresarial. No solo tus inyecciones triviales, sino cómo nuestro motor puede pasar por alto la lógica o los mecanismos de validación en tus aplicaciones y APIs, eliminando aún más las pruebas de seguridad manuales y realmente poniendo las pruebas de seguridad en manos de los desarrolladores. Los escaneos autenticados son totalmente compatibles para maximizar la cobertura, ya sea que uses autenticación formal o autenticación de encabezado, NTLM o incluso autenticación personalizada de múltiples tareas. Te tenemos cubierto en eso.

2. Precisión y Remediación con Neuralegions

Short description:

El mayor problema con los escáneres de seguridad es la precisión. Los desarrolladores quieren conocer problemas reales, no exageraciones. Neuralegions se enfoca en eliminar los falsos positivos automáticamente. Neural Edge y Scanner validan cada hallazgo con una prueba de concepto completa, eliminando la necesidad de validación manual. Se proporciona una visibilidad completa de los problemas recurrentes y nuevos, junto con pautas de remediación amigables para los desarrolladores. Todos los problemas se pueden copiar como un curl para depuración, y los equipos pueden asignarse a proyectos específicos para el escaneo y la visibilidad global. Neuralegions se integra perfectamente en tu canalización, lo que permite a los desarrolladores desplazarse hacia la izquierda y escanear cada confirmación o solicitud de extracción.

respeto. Pero creo que el mayor problema con los escáneres de security es la precisión, ¿verdad? Levanten la mano si les encantan las alertas falsas. No, no lo pensé. ¿Cuánto tiempo pasan validando problemas o solucionando problemas de hace seis meses o un año? DevOps y CICD equivalen a automatización, ¿cierto? ¿Cómo pueden hacerlo sin precisión? Los desarrolladores quieren conocer problemas reales, no exageraciones.

La gente siempre habla de reducir los falsos positivos. Bueno, aquí en Neuralegions, nos gusta hablar de eliminar por completo los falsos positivos automáticamente para ti. Ya sea que estés en una startup o una organización pequeña, probablemente sin un equipo de security dedicado, o tal vez seas una gran organización empresarial donde los desarrolladores superan en número a los de security en 50 o incluso 100 a 1. De cualquier manera, estás desarrollando y lanzando a una velocidad vertiginosa con múltiples compilaciones al día, pero también introduciendo problemas de security en producción a la misma velocidad. Lo último que quieres hacer es comenzar a introducir un montón de falsos positivos en tu carga de trabajo que necesita validación, sin mencionar que no puedes validar realmente tu riesgo. Los resultados simplemente se ignoran y prácticamente la herramienta se desactivará. Los falsos positivos en esta validación manual de resultados están perjudicando tus ciclos de lanzamiento rápidos y aumentando tu deuda técnica. Neural Edge y Scanner validan automáticamente cada hallazgo con una prueba de concepto completa. Sin necesidad de validación manual, tus compilaciones no fallarán sin motivo. Este ejemplo a la derecha muestra una captura de pantalla generada automáticamente de este problema de security de scripting entre sitios reflexivo, que causa esta ejecución emergente creada quizás por un usuario malintencionado. Buscamos automáticamente esta reflexión como parte de nuestro proceso de validación y te lo presentamos, confirmando el problema y asegurándonos de que no estés persiguiendo tu cola.

Pero ahora sabes qué se informa como real. ¿Cómo solucionas los problemas? Bueno, te brindamos una visibilidad completa de lo que está sucediendo. Comprende dónde se encuentran tus problemas recurrentes o los nuevos problemas que se detectan. Nuevamente, totalmente validados automáticamente por el motor para que no tengas que hacerlo tú. Se proporcionan pautas de remediación amigables para los desarrolladores con recursos adicionales para ayudarte a comprender los problemas y, lo que es más importante, cómo solucionarlos. Se proporcionan todas las solicitudes, respuestas y encabezados, y todos los problemas se pueden copiar como un curl para depuración con una función de reevaluación genial para ejecutar el mismo ataque o la misma carga y facilitar así la remediación para ti, el desarrollador. Asignar equipos de ingeniería o activos a proyectos específicos te permite segregar el escaneo y obtener una visibilidad global, ya sea de tus escaneos o, de hecho, de tu postura de riesgo, lo que significa que los equipos están creando los mismos problemas luego se puede proporcionar capacitación. Míralo como una capacitación segura sobre la marcha. Y todo esto se integra perfectamente en tu canalización. Con CICD y DevOps, hablamos de desplazarnos hacia la izquierda. Dask tradicionalmente se ha llevado a cabo en las etapas 4 y 5 realizadas por profesionales de security. Las herramientas se han construido para profesionales de security. Puedes comenzar a desplazarte hacia la izquierda, poniendo Dask en manos de los desarrolladores con Neuralegions. Escanea cada confirmación o solicitud de extracción, obtén comentarios inmediatos de los problemas, sin falsos positivos para comenzar a solucionar ahora. Tenemos integraciones con todas tus herramientas comunes o, mejor aún, usa nuestra API e integra. Se pueden abrir tickets de jurado, enviar mensajes a colegas relevantes en Slack, la colaboración es perfecta, fácil y precisa. Entonces, ¿qué estás esperando? Regístrate para obtener una cuenta gratuita y podrás comenzar a escanear en minutos. Conéctate con nosotros, consulta nuestra documentación para obtener más información. De cualquier manera, disfruta de la conferencia y feliz escaneo de security preciso.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

TestJS Summit 2021TestJS Summit 2021
33 min
Network Requests with Cypress
Top Content
Whether you're testing your UI or API, Cypress gives you all the tools needed to work with and manage network requests. This intermediate-level task demonstrates how to use the cy.request and cy.intercept commands to execute, spy on, and stub network requests while testing your application in the browser. Learn how the commands work as well as use cases for each, including best practices for testing and mocking your network requests.
TestJS Summit 2021TestJS Summit 2021
38 min
Testing Pyramid Makes Little Sense, What We Can Use Instead
Top Content
Featured Video
The testing pyramid - the canonical shape of tests that defined what types of tests we need to write to make sure the app works - is ... obsolete. In this presentation, Roman Sandler and Gleb Bahmutov argue what the testing shape works better for today's web applications.
TestJS Summit 2022TestJS Summit 2022
27 min
Full-Circle Testing With Cypress
Top Content
Cypress has taken the world by storm by brining an easy to use tool for end to end testing. It’s capabilities have proven to be be useful for creating stable tests for frontend applications. But end to end testing is just a small part of testing efforts. What about your API? What about your components? Well, in my talk I would like to show you how we can start with end-to-end tests, go deeper with component testing and then move up to testing our API, circ
TestJS Summit 2021TestJS Summit 2021
31 min
Test Effective Development
Top Content
Developers want to sleep tight knowing they didn't break production. Companies want to be efficient in order to meet their customer needs faster and to gain competitive advantage sooner. We ALL want to be cost effective... or shall I say... TEST EFFECTIVE!But how do we do that?Are the "unit" and "integration" terminology serves us right?Or is it time for a change? When should we use either strategy to maximize our "test effectiveness"?In this talk I'll show you a brand new way to think about cost effective testing with new strategies and new testing terms!It’s time to go DEEPER!
TestJS Summit 2023TestJS Summit 2023
21 min
Everyone Can Easily Write Tests
Let’s take a look at how Playwright can help you get your end to end tests written with tools like Codegen that generate tests on user interaction. Let’s explore UI mode for a better developer experience and then go over some tips to make sure you don’t have flakey tests. Then let’s talk about how to get your tests up and running on CI, debugging on CI and scaling using shards.

Workshops on related topic

React Summit 2023React Summit 2023
151 min
Designing Effective Tests With React Testing Library
Featured Workshop
React Testing Library is a great framework for React component tests because there are a lot of questions it answers for you, so you don’t need to worry about those questions. But that doesn’t mean testing is easy. There are still a lot of questions you have to figure out for yourself: How many component tests should you write vs end-to-end tests or lower-level unit tests? How can you test a certain line of code that is tricky to test? And what in the world are you supposed to do about that persistent act() warning?
In this three-hour workshop we’ll introduce React Testing Library along with a mental model for how to think about designing your component tests. This mental model will help you see how to test each bit of logic, whether or not to mock dependencies, and will help improve the design of your components. You’ll walk away with the tools, techniques, and principles you need to implement low-cost, high-value component tests.
Table of contents- The different kinds of React application tests, and where component tests fit in- A mental model for thinking about the inputs and outputs of the components you test- Options for selecting DOM elements to verify and interact with them- The value of mocks and why they shouldn’t be avoided- The challenges with asynchrony in RTL tests and how to handle them
Prerequisites- Familiarity with building applications with React- Basic experience writing automated tests with Jest or another unit testing framework- You do not need any experience with React Testing Library- Machine setup: Node LTS, Yarn
TestJS Summit 2022TestJS Summit 2022
146 min
How to Start With Cypress
Featured WorkshopFree
The web has evolved. Finally, testing has also. Cypress is a modern testing tool that answers the testing needs of modern web applications. It has been gaining a lot of traction in the last couple of years, gaining worldwide popularity. If you have been waiting to learn Cypress, wait no more! Filip Hric will guide you through the first steps on how to start using Cypress and set up a project on your own. The good news is, learning Cypress is incredibly easy. You'll write your first test in no time, and then you'll discover how to write a full end-to-end test for a modern web application. You'll learn the core concepts like retry-ability. Discover how to work and interact with your application and learn how to combine API and UI tests. Throughout this whole workshop, we will write code and do practical exercises. You will leave with a hands-on experience that you can translate to your own project.
React Summit 2022React Summit 2022
117 min
Detox 101: How to write stable end-to-end tests for your React Native application
Top Content
WorkshopFree
Compared to unit testing, end-to-end testing aims to interact with your application just like a real user. And as we all know it can be pretty challenging. Especially when we talk about Mobile applications.
Tests rely on many conditions and are considered to be slow and flaky. On the other hand - end-to-end tests can give the greatest confidence that your app is working. And if done right - can become an amazing tool for boosting developer velocity.
Detox is a gray-box end-to-end testing framework for mobile apps. Developed by Wix to solve the problem of slowness and flakiness and used by React Native itself as its E2E testing tool.
Join me on this workshop to learn how to make your mobile end-to-end tests with Detox rock.
Prerequisites- iOS/Android: MacOS Catalina or newer- Android only: Linux- Install before the workshop
TestJS Summit 2023TestJS Summit 2023
48 min
API Testing with Postman Workshop
WorkshopFree
In the ever-evolving landscape of software development, ensuring the reliability and functionality of APIs has become paramount. "API Testing with Postman" is a comprehensive workshop designed to equip participants with the knowledge and skills needed to excel in API testing using Postman, a powerful tool widely adopted by professionals in the field. This workshop delves into the fundamentals of API testing, progresses to advanced testing techniques, and explores automation, performance testing, and multi-protocol support, providing attendees with a holistic understanding of API testing with Postman.
1. Welcome to Postman- Explaining the Postman User Interface (UI)2. Workspace and Collections Collaboration- Understanding Workspaces and their role in collaboration- Exploring the concept of Collections for organizing and executing API requests3. Introduction to API Testing- Covering the basics of API testing and its significance4. Variable Management- Managing environment, global, and collection variables- Utilizing scripting snippets for dynamic data5. Building Testing Workflows- Creating effective testing workflows for comprehensive testing- Utilizing the Collection Runner for test execution- Introduction to Postbot for automated testing6. Advanced Testing- Contract Testing for ensuring API contracts- Using Mock Servers for effective testing- Maximizing productivity with Collection/Workspace templates- Integration Testing and Regression Testing strategies7. Automation with Postman- Leveraging the Postman CLI for automation- Scheduled Runs for regular testing- Integrating Postman into CI/CD pipelines8. Performance Testing- Demonstrating performance testing capabilities (showing the desktop client)- Synchronizing tests with VS Code for streamlined development9. Exploring Advanced Features - Working with Multiple Protocols: GraphQL, gRPC, and more
Join us for this workshop to unlock the full potential of Postman for API testing, streamline your testing processes, and enhance the quality and reliability of your software. Whether you're a beginner or an experienced tester, this workshop will equip you with the skills needed to excel in API testing with Postman.
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Testing Web Applications Using Cypress
WorkshopFree
This workshop will teach you the basics of writing useful end-to-end tests using Cypress Test Runner.
We will cover writing tests, covering every application feature, structuring tests, intercepting network requests, and setting up the backend data.
Anyone who knows JavaScript programming language and has NPM installed would be able to follow along.
TestJS Summit 2023TestJS Summit 2023
148 min
Best Practices for Writing and Debugging Cypress Tests
Workshop
You probably know the story. You’ve created a couple of tests, and since you are using Cypress, you’ve done this pretty quickly. Seems like nothing is stopping you, but then – failed test. It wasn’t the app, wasn’t an error, the test was… flaky? Well yes. Test design is important no matter what tool you will use, Cypress included. The good news is that Cypress has a couple of tools behind its belt that can help you out. Join me on my workshop, where I’ll guide you away from the valley of anti-patterns into the fields of evergreen, stable tests. We’ll talk about common mistakes when writing your test as well as debug and unveil underlying problems. All with the goal of avoiding flakiness, and designing stable test.