Entonces, hoy vamos a hablar de tres tipos de pruebas de seguridad. Y vamos a trabajar con esos tipos de pruebas de seguridad. También vamos a automatizarlos. En <a href="/tags/github-actions">GitHub Actions</a>. Así que, el primero, estos son tres grandes clases de pruebas de seguridad que son bastante comunes en estos días. El primero es el análisis de composición de software. Y este se ha vuelto bastante común. Bastante ubicuo. Muchas veces sucede en segundo plano sin que siquiera lo sepas. Pero lo que hace es operar en código estático. Y es una prueba que básicamente examina tu catálogo de dependencias. Por lo tanto, examinará tus archivos package.json y package-lock.json. Y tratará de operar a través de eso y encontrar cualquier dependencia descendente, analizar todo el proceso y luego volver a ti y reportar las vulnerabilidades conocidas en cualquier versión específica de la biblioteca que estés utilizando en tu código cuando lo construyas. Es un escaneo muy preciso y rápido porque es bastante simple. Y siempre se refiere a una base de datos de vulnerabilidades conocidas. Por lo tanto, realmente no tiene falsos positivos. Cualquier cosa que encuentre, debes solucionarlo si puedes. Ahora, digo que no tiene falsos positivos. Y la razón de eso es que podrías incluir una biblioteca gigantesca y tu aplicación solo expresa una pequeña parte de esa biblioteca de aplicaciones. Y por lo tanto, es posible que en realidad no tengas la vulnerabilidad evidente en tu código. Y ahí es donde una prueba DAST es útil, ya que no informará sobre errores que no hayas expresado. Pero de todos modos, eso es SCA. Y algunos buenos ejemplos de SCA o análisis de composición de software son Dependabot, Snyk y FOSA. Dependabot es el que vamos a utilizar hoy y está integrado en GitHub. Snyk es una herramienta muy popular, excelente para encontrar vulnerabilidades en tus dependencias. Y FOSA es un proyecto de código abierto que hace lo mismo. En realidad, no he trabajado mucho con eso, Dependabot y Snyk son definitivamente herramientas increíbles. El siguiente tipo de prueba de seguridad que veremos es SAST, o Pruebas de Seguridad de Aplicaciones Estáticas. Esta es otro tipo de escaneo que opera en código estático, pero va un poco más a fondo. Lo que hace es tomar tu código y tratará de construirlo e indexarlo todo en un tipo de base de datos para poder buscar patrones que indiquen que tienes algunas vulnerabilidades, algunas vulnerabilidades de seguridad en tu código. Es muy interesante porque cuando informa, puede hacerlo por archivo y por línea. Por lo tanto, eso es realmente útil para los desarrolladores. Los involucra exactamente en dónde está el problema y qué es. Por lo general, tiene excelentes descripciones. A diferencia de SCA, este encuentra tus errores, no errores en las dependencias que incluyes. Desafortunadamente, es más lento que SCA, probablemente por razones obvias. Está realizando un análisis mucho más profundo. Y puede estar sujeto a falsos positivos. Por lo tanto, debes tener eso en cuenta. Puede encontrar patrones que cree que son vulnerabilidades, pero en realidad no lo son, al menos en el estado actual de la tecnología, no es lo suficientemente avanzado como para eliminar los falsos positivos. Por lo tanto, debes tener eso en cuenta cuando uses una herramienta como esta. Algunos excelentes ejemplos de SAST son CodeQL, SonarCube y Checkmarks. Y CodeQL es el que vamos a utilizar hoy. Eso está integrado en GitHub. Y CodeQL es realmente una excelente herramienta para la automatización de las pruebas de SAST. Y finalmente, veremos el escaneo DAST. Por lo tanto, DAST es Pruebas de Seguridad de Aplicaciones Dinámicas. Y esto, a diferencia de los otros tipos de escaneos, opera en tu código. Por lo tanto, lo que necesitas hacer para ejecutar esto es iniciar tu aplicación,

Muy bien, vamos a configurar un único trabajo llamado Compilación y Prueba. Vamos a ejecutar eso. ¡Ups! Dos puntos de prueba. Vamos a darle un nombre agradable y agradable para que aparezca en la Consola de Acciones llamado Compilación y Prueba. Lo vamos a ejecutar en una máquina virtual Ubuntu. Así que Ubuntu-2004 se ejecuta en ella. Vamos a configurar un par de pasos para empezar.Primero, vamos a verificar el código utilizando una acción incorporada llamada Checkout versión 2. Después de verificar el código, vamos a instalar <a href="/tags/nodejs">Node.js</a> 14. Vamos a utilizar otra acción llamada Action Setup Node versión 2. Y voy a agregar un parámetro a eso utilizando la bandera with. Vamos a utilizar la versión de nodo 14.x. Por último, vamos a agregar un paso para instalar nuestras dependencias. Vamos a hacer eso ejecutando 10 p.m. clean install. Y eso debería ser todo. Si escribo todo esto correctamente, esto debería ejecutar una acción tan pronto como lo verifique, o tan pronto como lo confirme. Va a verificar el código, instalar node e instalar las dependencias para la aplicación. Y eso debería decirme si esta aplicación va a funcionar. Así que voy a confirmar el archivo, crear build and test.yaml. Parece un buen mensaje de confirmación. Presionar confirmar y archivo. Así que deberíamos detenernos aquí y ver si todos están actualizados con nosotros.Nick publicó un punto de control aquí. Crear <a href="/tags/github-actions">GitHub workflow</a> build and test YAML. Solo danos un pulgar hacia arriba si estás listo. ¿Los métodos del campo de usos provienen de una biblioteca? Este uses significa usar una de las acciones de GitHub. Haré una pequeña desviación aquí y te mostraré el mercado de acciones de GitHub para mostrarte lo que significa esto. Estos son como módulos o complementos en Jenkins. Perkily señaló que cuando escribiste el código, bajo el comando uses, tienes action sin una S y en la guía, es actions con una S. Quiero verificarlo nuevamente y ver si fue un error tipográfico. Eso es un error tipográfico. Gran atrapada. Cuando hice eso, por supuesto, no funcionó. No se pudo resolver la acción, acción checkout. Gracias por esa atrapada. Eso es correcto. Tendré que actualizar esto. Buena atrapada, Bruce Ely. Obtienes puntos extra. Sí, dale dos entradas para el swag. Espera, ¿incluso lo hice? Estoy en la lectura equivocada. Vuelve a las flujos de trabajo de GitHub, edita este archivo, actualiza estos a actions. Confirmar. Ve a la pestaña de acciones ahora. Así que una vez que lo hayas confirmado, puedes hacer clic en esta pestaña de acciones y deberías ver cualquier flujo de trabajo en ejecución y así sucesivamente. Ahora que arreglé mi error, mi flujo de trabajo está en ejecución. Cuando haces clic en él, esta vista aquí va a mostrar todas tus ejecuciones, y este mensaje aquí es mi mensaje de confirmación. Así que voy a hacer clic en la compilación y

prueba de trabajo. Verifica los pasos. Así que tiene un par de pasos incorporados que están funcionando y ya han sido completados. Ahora está trabajando en la instalación de las dependencias, que es el último paso. Y luego tiene un par de pasos adicionales incorporados donde se envuelve cualquier cosa de acciones anteriores. Así que espero que todos estén viendo lo mismo que yo. Tienes tu acción en ejecución. Podemos ver el progreso aquí. Está pasando por un largo proceso de instalación de dependencias. SQLite. Tiene que hacer alguna compilación en C. Siempre tarda una eternidad. Muy bien, y todo está correcto. Tenemos una marca de verificación verde. Un pequeño subidón de dopamina. Hemos tenido éxito en nuestra primera tarea, que es configurar esta acción de GitHub. Ahora quiero detenerme y ver si alguien ha tenido problemas. Muy bien. Tenemos un error. Pero jobs no es un nombre de evento válido. Oye Tho, ¿es posible que pegues el error que estás viendo y dónde lo estás viendo? Oh, hey, así que tengo la sospecha de que tu formato puede no ser correcto. Puede que piense que tu entrada de trabajos es una subsección de la bandera on. Así que asegúrate de que jobs no tenga ninguna indentación en absoluto. Está de vuelta en la raíz. Podemos actualizar eso. En este caso, ¿cuál tiene Ubuntu 20.04? Ubuntu 20.04, lo que dice cuando decimos que se ejecuta en Ubuntu 20.04, cuando esta acción se ejecuta, en realidad se inicia una máquina virtual que ejecuta Ubuntu 20.04, y es en eso en lo que se ejecuta todo esto. Así que cuando estás viendo los registros, los registros de la acción, esto es básicamente la salida de la consola en una máquina Ubuntu 20.04. CE12 pregunta, ¿esto es como Python donde la indentación afecta cómo se ejecuta el código y no es solo para legibilidad? Y eso es correcto. Así que YAML es un superconjunto de JSON. Por lo tanto, este archivo de configuración es esencialmente un archivo JSON. Es posible que funcione si lo formateas como JSON. Pero sí, la indentación del formato es importante en YAML. Muy bien. Quiero avanzar porque tenemos mucho que cubrir. Quiero pasar al siguiente paso, si todos están de acuerdo. Parece que muchos están al día. Muy bien. Nuestro siguiente paso es configurar Dependabot. Y esto es, de nuevo, un análisis de composición de software, está integrado en GitHub. Esto está habilitado de forma predeterminada en repositorios públicos. Pero como hemos bifurcado el nuestro, no lo habilitan de forma predeterminada. Así que lo habilitaremos manualmente. Y esto también es gratuito en repositorios privados. Por lo tanto, los pasos que seguimos son los mismos pasos que seguirías para habilitarlo en un repositorio privado. Totalmente gratuito y disponible. Una vez más, esto va a revisar tus dependencias, va a encontrar cualquier vulnerabilidad en tu cadena de dependencias. Y una de las cosas interesantes es que también emite automáticamente solicitudes de extracción para solucionar las vulnerabilidades que encuentra. Si puede. Si puede solucionarlas automáticamente.

De acuerdo. Así que no perdamos ni un minuto más. Comencemos con Dependabot SCA. Si volvemos a nuestro repositorio, dirígete a la pestaña de configuración. También podemos hacer esto desde <a href="/tags/automated-security">security</a>. Te mostraré la ruta secreta para acceder a ello. Ve a la pestaña de configuración y entra en <a href="/tags/automated-security">security</a> y análisis. En <a href="/tags/automated-security">security</a> y análisis, hay tres funciones que queremos habilitar para que Dependabot funcione. La primera es el gráfico de dependencias. Esto permite a GitHub acceder y encontrar tus archivos de dependencias como package.json y package-lock.json y analizarlos en busca de las dependencias de tus dependencias. Así puede realizar un escaneo más exhaustivo. Habilita eso. Las alertas de Dependabot. Permite que Dependabot te avise cuando encuentre vulnerabilidades. Y luego las actualizaciones de seguridad de Dependabot habilita a Dependabot para emitir solicitudes de extracción cuando encuentre problemas. Asegúrate de que todos hayan encontrado esto en la pestaña de configuración, <a href="/tags/automated-security">security</a> y análisis. Danos un pulgar arriba cuando lo hayas hecho. Genial. Y si tienes problemas para encontrar estas configuraciones o te quedas atascado, simplemente danos un pulgar abajo como siempre, o escribe una pregunta, o publica una captura de pantalla si tienes problemas y te ayudaremos a resolverlo. El fallo de verificación también debe estar configurado. Salosen10, el fallo de verificación también debe estar configurado. No estoy seguro, no estoy seguro a qué te refieres. ¿Puedes mostrarnos una captura de pantalla de lo que estás viendo? Oh, sí, configuraremos el análisis de código a continuación. Solo estamos haciendo una pausa después de los primeros tres que estamos habilitando. Muy bien, y está bien si habilitas el análisis de código. Oh, bien, Marat ya está adelantado. Si habilitaste el análisis de código por error, está bien. Volveremos y lo haremos más tarde, pero está bien si ya lo hiciste. No te preocupes por eso. De acuerdo, voy a continuar. Así que espero que todos hayan habilitado estas tres funciones. Y, por lo tanto, lo que deberías notar ahora es que ya hay un distintivo en la pestaña de <a href="/tags/automated-security">security</a>, siete, lo que significa que ha encontrado siete cosas. Entonces, si haces clic en <a href="/tags/automated-security">security</a>, haz clic en la pestaña de <a href="/tags/automated-security">security</a>, deberías ver aquí, bajo las alertas de Dependabot, otro distintivo de siete, que indica que hay siete alertas de Dependabot. Esto es genial. Simplemente nos muestra todos los problemas que encontró y les asigna una etiqueta según la gravedad de esos problemas. Permíteme hacer clic en pug, solo como ejemplo. Así puedes ver aquí que dice, hey, deberíamos actualizar pug de 204 a 301 porque encontré una vulnerabilidad en la versión 204. Y aquí abajo muestra los detalles del problema, que puedes leer a tu ritmo. Hay soluciones alternativas y parches. Así que recomienda, hey, simplemente ve a tu package-lock.json y actualiza las dependencias de pug. Una solución muy sencilla, fácil de hacer. Y si esperamos un poco más, tengo la corazonada de que más adelante en este taller, veremos, oh, aquí está. Entonces, si haces clic en solicitudes de extracción, es posible que encuentres que ya hay una solicitud de extracción de Dependabot que dice, me gustaría actualizar pug. Y lo que ha hecho es bastante genial. Ha emitido una solicitud de extracción para eso y ha ejecutado todas las pruebas. Y así ha ejecutado el flujo de trabajo que configuramos inicialmente y ha comprobado que funciona. Así que sabemos que es seguro fusionar esta solicitud de extracción y solucionar el problema. Así que solo voy a retroceder y repasar estos pasos una última vez. Fuimos a la configuración, <a href="/tags/automated-security">security</a> y análisis. Habilitamos el gráfico de dependencias, las alertas de dependabot, las actualizaciones de seguridad de dependabot.

Esto es increíble. Mucha gente está con nosotros. Voy a ir a la pestaña de Acciones y ver si esto está funcionando. Bien, genial. Nuestro trabajo de CodeQL está en ejecución, pero lo que realmente nos interesa es el trabajo de compilación y prueba. Así que haz clic en tu trabajo de compilación y prueba o flujo de trabajo y haz clic en el trabajo de compilación y prueba. Puedes ver que el mío todavía está trabajando en la instalación de las dependencias, pero cuando termine con eso, ejecutará la aplicación, lo cual debería ser bastante rápido, y luego ejecutaremos Hawkscan.Mientras esperamos a que esto comience a llenarse, mientras esperamos a que estas cosas se ejecuten, porque llevará un tiempo instalar las dependencias, voy a volver a la interfaz de usuario de StackHawk y darte un breve recorrido mientras esperamos. Aún no tenemos resultados de escaneo para buscar, pero cuando se inicie ese Hawkscan, deberíamos obtener algunos resultados.Aquí, en la pestaña de aplicaciones, se muestra una vista de todas las aplicaciones que podrías tener. Si fueras una gran empresa y tuvieras muchas aplicaciones, tendrías una entrada aquí para cada aplicación. Así que tenemos esta aplicación llamada warm note express y aquí está el ID de la aplicación, que es útil para copiarlo y pegarlo en un archivo de configuración. Hay un botón aquí que te permite ajustar el nombre de la aplicación, ajustar varias características de la aplicación y, si tuvieras una cuenta Pro, también hay banderas de características aquí donde puedes indicar que esta es una aplicación de Java y que utiliza una base de datos SQLite, por ejemplo, y simplemente nombrar algunas de las tecnologías que utilizas, lo que ayuda a optimizar los escáneres para que se ejecuten un poco más rápido. Volviendo a la pestaña de aplicaciones, para cada entorno en una aplicación, se muestra una pequeña tarjeta para cada entorno. Volveremos a esto y es interesante porque te muestra el estado de tu aplicación. Oh, aquí está el estado de tu aplicación y habrá un gráfico de barras aquí que muestra todas tus últimas ejecuciones y te da un resumen de los hallazgos de alta, media y baja gravedad que encontró el escáner. Volveremos a esto. En la sección de integraciones, puedes ver que tenemos varias integraciones de CICD. Puedes ejecutarlo en cualquier CICD, pero estas son las que hemos integrado más profundamente o para las que hemos creado una guía para ayudarte a comenzar rápidamente. También nos integramos con Slack, Datadog y Microsoft Teams para recibir notificaciones. Así que, utilizando Slack o Microsoft Teams, puedes recibir notificaciones cuando haya nuevos escaneos o cuando haya nuevas alertas de alta gravedad, por ejemplo. Si te integras con Datadog, puedes enviar todos los eventos de escaneo a Datadog para recopilar datos. También nos integramos con Jira para que, a medida que se encuentren vulnerabilidades, puedas enviar esas vulnerabilidades a Jira para comenzar a hacerles seguimiento, asignarlas a los desarrolladores y, luego, a medida que las solucionen, se eliminarán de los resultados del escaneo. Finalmente, si hay alguna otra integración que te gustaría hacer por tu cuenta y no tenemos una oficialmente compatible, admitimos una webhook genérica para que puedas enviar todos los datos y eventos de escaneo a una webhook genérica. Por último, puedes invitar a usuarios a tu organización, si lo deseas, y puedes ir a la configuración para cambiar el nombre de tu organización, crear nuevas claves de API, ver los detalles de tu cuenta, etc. Voy a volver a los escaneos y ver si ya tenemos resultados... Sí, ya tenemos resultados de escaneo. Ampliemos esto para verlo completo. Antes de mostrarte los resultados del escaneo, permíteme volver al flujo de trabajo de acciones. En la sección Ejecutar la aplicación, ese nuevo paso que hicimos, es un paso muy sencillo, simplemente inicia las aplicaciones y luego ejecuta Hawkscan. Y cuando ejecutamos Hawkscan, tenemos unas declaraciones de acción de Hawkscan muy sencillas, solo un par de líneas. Lo que se expande y lo que harías en tu estación de trabajo si quieres ejecutar Hawkscan localmente es este comando de <a href="/tags/containers">Docker</a>, y solo para recorrerlo, está ejecutando <a href="/tags/containers">Docker</a> run Hawkscan, básicamente. Tenemos un par de otras banderas aquí para montar el volumen donde se encuentra tu repositorio para que puedas encontrar tu archivo de configuración stackhawk.yaml. Enviamos una variable de entorno para tu clave de API. Así que tiene la clave de API para poder conectarse a la plataforma. Y eso es prácticamente todo. Luego, descarga el contenedor y comienza Hawkscan. Y si lo ejecutaras localmente, verías este tipo de resumen al iniciarse diciendo: `Hola, soy la última versión de Hawkscan. Estoy ejecutándome en esta ID de aplicación en este entorno. Tengo una ID de escaneo, este gran número para rastrear más adelante si lo necesitas. Encontré este archivo de configuración. Estoy escaneando este host. Y esto no es una aplicación <a href="/tags/graphql">GraphQL</a>, y te dará alguna otra información de resumen si has configurado características avanzadas. Luego, realiza el escaneo. Te dice lo que rastreó. Y te da información de resumen sobre los hallazgos. Finalmente, te da un enlace de vuelta a la plataforma. Y en la plataforma, tenemos resultados de escaneo. Puedo hacer clic en este último escaneo y ver los detalles del escaneo. Así que nos da un resumen.

Oh, ese es un gran punto, Doran. ¿Puedes usarlo en diferentes tipos de código? Esa es una gran ventaja del escaneo DAST, en realidad. En general, no le importa a qué está escuchando la aplicación. En qué fue escrita. De hecho, ni siquiera sabe en qué fue escrita. Puedes establecer indicadores de tecnología en nuestra aplicación. Si tienes una cuenta profesional, hay indicadores de tecnología, que dicen, y la función de indicadores de tecnología te permite, por ejemplo, decir, hey, esta aplicación está escrita en C-sharp, y cosas así. Y luego ayuda al escáner a ajustarse a esa aplicación específica. Sabiendo que hay ciertas vulnerabilidades que solo se aplican a C-sharp, pero no a Java, por ejemplo. Pero sí. En general, el escaneo DAST no se preocupa por el lenguaje que uses. Entonces, si las personas son sensibles al tiempo, quiero devolverles su tiempo. Hemos terminado con el evento principal. Pero si alguien quiere quedarse y hacer más preguntas, estas son excelentes preguntas que estamos recibiendo, y me encantaría responder más sobre eso. Si miras en la guía de <a href="/tags/github-actions">GitHub Actions</a>, esta guía de <a href="/tags/github-actions">GitHub Actions</a> del taller que todos han estado siguiendo, al final, hay una sección sobre dónde puedes ir a leer más sobre cosas. Así que tengo algunos enlaces aquí para llevarte a la documentación de <a href="/tags/github-actions">GitHub Actions</a>, CodeQL y Dependabot. Enlazaré al mercado para que puedas ver otras <a href="/tags/github-actions">GitHub Actions</a> que otros han creado. Y luego, tengo un par de recursos aquí para Stackhawk. Así que si quieres seguir investigando Stackhawk, tenemos un gran conjunto de documentación. Una cosa que querrás hacer si continúas con Stackhawk y estás escaneando tus propias aplicaciones, generalmente, querrás autenticar el escáner en tu aplicación. Esta es una sección completa de la que no hemos hablado. Pero Hawk Scan es realmente bueno en la autenticación para poder adentrarse más en tu aplicación porque la mayoría de las cosas interesantes están detrás del nombre de usuario y la contraseña. Tenemos documentación sobre Integraciones Continuas. Entonces, si estás usando Argo <a href="/tags/ci-cd">CD</a>, o Jenkins, o CircleCI, o algo así, tenemos guías para todos ellos. Y tenemos un blog de Stackhawk donde tenemos muchos consejos, trucos y tutoriales para ayudarte a probar tus aplicaciones. También tenemos muchas piezas de estrategia allí. No se trata solo de Stackhawk en particular. Ha sido realmente un placer. Gracias a todos por participar y por ayudarse mutuamente. Este realmente ha sido un buen taller, que creo que ha sido mi favorito hasta ahora. Muchas gracias Nick por ayudar en el chat. Fue muy divertido. Y me alegra que todos lo hayan superado con dificultades mínimas y muy pocas dificultades técnicas que pudimos solucionar fácilmente. Y sí, si tienen preguntas de seguimiento más adelante, siempre pueden comunicarse con nosotros por correo electrónico o en Slack u otros lugares, o seguiremos en el Discord. También tenemos un Discord de Stackhawk al que puedes unirte si quieres venir y hacer preguntas de esa manera. Y en algún momento, lanzaremos un foro de comunidad en línea para que las personas vengan y hagan preguntas o brinden comentarios o simplemente charlen y realicen más talleres como este. Así que esperamos tener muchos más, Murat ya está pidiendo tarea, así que sí. Sí, profundiza en eso, profundiza en nuestro blog, o tu tarea es llevar esto a tu aplicación favorita y aplicarlo a tu aplicación favorita y ver qué puedes encontrar con tus propias aplicaciones y ver si puedes solucionar algunos de esos problemas. Sí, diría que si estás buscando el siguiente paso adecuado, la mayoría de las aplicaciones web tienen alguna forma de autenticación y hay una serie de blogs en nuestro blog que Aaron ha preparado que cubre cómo autenticarse en tu aplicación web. Así que es bueno seguirlos y nuevamente, tiene una aplicación de muestra en la que puedes configurar la autenticación y hacerla funcionar para que puedas ver cómo escanea las URL a las que debes iniciar sesión para acceder y cosas así. Ooh, Berta, genial, veamos. Alguien preguntó, ¿cómo funciona el motor de rastreo? Y me recuerda que olvidé señalar que además de este rastreador web básico que funciona como un rastreador de Google, tenemos funciones para que puedas escanear tu aplicación de API abierta para que podamos ver tu especificación de API abierta y obtener mucha información sobre exactamente qué rutas están disponibles en tu API. O si tienes una especificación WSDL para una aplicación SOAP, o si tienes un punto de introspección de <a href="/tags/graphql">GraphQL</a>, podemos acceder a todos ellos y obtener información más detallada sobre dónde se encuentra lo interesante en tu aplicación que puedes escanear. Muy bien. Y luego, el motor de rastreo para las URL obviamente depende de que estén enlazadas. Entonces, si tienes URL huérfanas, no las encontraremos, pero cualquier cosa que esté fuera de la página principal está enlazada, o enlazada, o enlazada, va a pasar por todas esas URL e intentar todas las diferentes formas de ingresar que conoce. De acuerdo. Muy bien. ¿Alguna pregunta final antes de terminar el día? Para el Swag, Liaz, solo tienes que completar un escaneo exitoso, lo cual ya has hecho como parte de esto, y estarás participando, y luego te rastrearemos y enviaremos el Swag a los ganadores. Creo que lo haremos el próximo lunes.

Otra, otra gran pregunta. ¿Puedes obtener una tendencia? Como hace dos semanas teníamos este estado, ahora es mejor o peor. Así que una respuesta un poco vaga, pero puedes ver la línea de tendencia a partir de esto y no te muestra, no te muestra el tiempo, te muestra por escaneo. Así que cada una de estas barras va a ser otro resultado de escaneo. Veamos, si tienes otro, sí, tenemos otros resultados de escaneo, así que deberíamos ver un ejemplo de eso. Ahora tenemos dos barras y eso se irá llenando barra tras barra, escaneo tras escaneo. Así que no es realmente basado en el tiempo, es un conjunto de escaneos. Sin embargo, puedes integrarte con Datadog, por ejemplo, y enviar tus resultados de escaneo a Datadog y luego puedes filtrar los <a href="/tags/data">data</a> de la manera que desees. Siempre nos interesa recibir comentarios como este de usuarios como, oh, si tuvieras una vista de tendencia así, basada en el tiempo, ¿qué tan útil sería eso? ¿Cómo lo usarías? Así que estamos realmente ansiosos por escuchar preguntas como esta, nos da ideas sobre características que podemos agregar al producto. Gran pregunta. Otra pregunta es, ¿puedes ejecutar el escaneo manualmente? Si ejecutas la aplicación localmente, puedes escanear localmente y desde la ejecución de <a href="/tags/github-actions">GitHub actions</a> que hicimos, puedes ver exactamente cómo se vería el comando. Entonces, para ejecutar hawkscan localmente ejecutarías un comando como este. Dirías <a href="/tags/containers">docker</a> run dash TTY para obtener la salida en la consola porque le gusta arrojarte la salida. Así puedes ver lo que está haciendo. Este dash dash R-M simplemente elimina el contenedor cuando haya terminado de ejecutarse. Monta el volumen de tu directorio de trabajo actual que es donde esperamos encontrar tu archivo de configuración Stackhawk.yml. Se monta en un directorio slash hawk dentro del contenedor. Y ahí es donde hawkscan espera encontrar tu configuración. Necesitas enviar una variable de entorno con tu clave de API para que pueda conectarse de vuelta a la plataforma. En este caso, convertimos nuestro host de red que le da al contenedor acceso a tu pila de red local. Y eso hace que Stackhawk se ejecute un poco más rápido y tiende a eliminar cualquier problema de red con el que pueda encontrarse. Hay escenarios de redes más complicados. Lo tenemos todo cubierto en nuestra documentación. Pero esta suele ser una buena bandera para activar en <a href="/tags/containers">Docker</a>. Ejecuta el contenedor de Hawk scan y encuentra este archivo de configuración. Así es como lo ejecutarías localmente. Solo ejecuta esto en la línea de comandos.

Y como puedes ver, encuentra el archivo exacto donde se encuentra el problema, en service, search dot JS. Y señala el código exacto. Así que dice, hey, encontré esta línea donde estamos haciendo un select, tenemos esta consulta de mySQL que se está construyendo. Y simplemente has insertado una variable allí. Y esto es muy escapable si no haces alguna comprobación de confianza en esta variable. Y luego te señala la variable proporcionada por el usuario de donde proviene esto. Simplemente abrió un campo de búsqueda en el navegador web y permitió a las personas escribir cualquier cosa allí y no hiciste ninguna comprobación de errores en ella. Esto es simplemente una inyección de MySQL o SQL de libro de texto y también material de reflexión. Por lo tanto, identificó correctamente un error real. Y luego te dice, aquí está la regla en la base de datos de CodeQL, conjunto de reglas y consultas que encontraron este problema, y te da una recomendación de cómo podrías solucionarlo y un ejemplo de cómo podrías solucionarlo para tu tipo específico de código. Bastante genial. Y algunas referencias.

¡Hola! Encontré tres alertas de alta gravedad, 11 de gravedad media y 18 de baja gravedad. Debería detenerme en realidad, asegurémonos de que todos estén al día. ¿Hay alguna pregunta o problema que estén experimentando las personas? Parece que la mayoría de las personas están escaneando con éxito. C1Su tuvo un problema donde su compilación y prueba fallaron en el escaneo de Hawk. Decía `no se puede encontrar la imagen, stack, hawk, hawk scan latest localmente`. Publicó una captura de pantalla en Discord. Echa un vistazo a esto. Fascinante. Oh, esto está bien. Creo que está diciendo que no lo encontró localmente. Así que va a descargarlo. Si miras el resto de eso, pero luego falló. ¿Qué, qué dice el resto? Descargado luego. Pero luego falló. ¿Qué, qué dice el resto? Sí. ¿Podrías mostrarnos una captura de pantalla de las próximas líneas? Sí, es una buena idea de Marat. Si no tienes configurada correctamente la clave de la API, eso puede causar un error. Sí. Si miras el resto de la salida en el paso de ejecución de hox scan al final, debería mostrarte, um, debería mostrarte cuál fue el error o por qué falló. Y permíteme mostrarte, um, cómo se vería eso, de hecho, entro aquí. Um, así que lo que probablemente, espero que veas es que dice `no se puede encontrar la imagen localmente. Así que estamos descargando la última versión, descarga, descarga, descarga, y deberías llegar a esta parte aquí y debería decir, `Hola, estoy ejecutando la versión de hox scan de esto, pero encontré un error fallido`. Y aquí está la razón del fallo en algún lugar por aquí. También no está encontrando tu archivo stack hoc.yaml. Eso será lo siguiente que debes verificar después de la API. Sí. Solo para asegurarte de que estás viendo un archivo stack hoc.yaml en la raíz. Sí. Parece que tienes la clave de la API ahí. Siempre y cuando se haya pegado correctamente y, no hayas omitido accidentalmente un carácter o algo así, entonces deberíamos estar bien. Echa un vistazo a la raíz de tu repositorio y asegúrate de tener un archivo stack hoc.yaml aquí. Me encanta todo el apoyo de la <a href="/tags/community">community</a> aquí. Chicos, esto es genial. Sí. Sí, parece que hay un error tipográfico en el nombre del archivo. Shack Hoc en lugar de stack hoc. Sí. Si simplemente editas ese nombre de archivo a stack hoc, entonces deberíamos estar bien. De acuerdo, pasemos a los modelos. Qué gran audiencia. Tan serviciales, gracias a todos. Trato hecho. El <a href="/tags/community">community</a> manager alegra mi corazón. De acuerdo, ahora voy a volver a la consola de stack hoc, y simplemente volver a la consola de stack hoc y espero que otras personas también estén viendo esto. Obtenemos una buena lista de los hallazgos, tenemos un problema de <a href="/tags/xss">cross site scripting</a>, inyección de SQL que encontró el escáner SAS, escáner de token anti CSRF, blah, blah, blah, blah, blah. Muchas vulnerabilidades, incluyendo tres alertas de alta gravedad. Y aquí hay información de resumen. También hay pestañas aquí arriba que son divertidas de ver y pueden ser útiles para solucionar problemas. En la pestaña de rutas se encuentran todas las rutas que el escáner encontró cuando hizo su rastreo inicial. El primer paso que realiza el escáner es simplemente rastrear el sitio como lo hace Google, encuentra la página de inicio, cualquier enlace en ella, los sigue y luego sigue cualquier enlace en esas dos páginas y así sucesivamente. Y luego el resumen del complemento para cada una de esas rutas que encuentra, ejecuta estos complementos contra ellas, y los complementos contienen conjuntos de sondas, y ataques intentados que se realizarán contra tu aplicación.

Sí. Eso y uno es igual a uno es lo que indica que, hey, está permitiendo adiciones a la declaración SQL. Entonces, ahora tienes todos los detalles. ¿Cuál fue la solicitud, cuál es la respuesta? Y también puedes hacer clic en este botón de validación para obtener un comando curl para hacer la misma solicitud, para verificar que obtuviste la misma respuesta. Puedes tomar acciones sobre esto. Entonces, desde aquí, para cada ruta, puedes tomar las acciones y puedes aceptar el riesgo o hacerlo, marcarlo como un falso positivo si no crees que sea un problema real, o puedes asignarlo a otros usuarios. Y si tuviera una integración con JIRA, esto generaría un ticket de JIRA con mucha información sobre cuál era el problema y cómo solucionarlo. Tiene mucha información sobre cuál era el problema, en qué aplicación estaba trabajando, en qué entorno estaba. Tiene un enlace de vuelta a este resultado de escaneo para que cualquier desarrollador que tome este ticket pueda volver a este resultado de escaneo y validar el problema por sí mismo. Cuando clasificas de esta manera, clasifiquemos este. Voy a, no tengo la integración, Zach tiene esto, marcar como hecho. Y luego volvemos a la página de resumen, puedes ver que para la inyección de SQL, ya no tenemos una nueva alerta, está asignada. Y ahora, cuando ejecutemos este escaneo en el futuro, esto no contará como una nueva alerta de alta gravedad porque sabe que ya lo hemos clasificado, lo hemos manejado de alguna manera, tenemos a alguien trabajando en ello, o hemos aceptado el riesgo. Y donde esto es útil es que puedes configurar HawkScan para fallar si alcanza un umbral determinado de gravedad. Entonces, en este caso, muchas veces los clientes lo configuran para fallar si encuentra problemas de alta gravedad, y eso romperá el flujo de trabajo, por lo que dices que hiciste un PR y se ejecuta HawkScan, y falla porque tenemos algunas alertas de alta gravedad. Eso impide que los desarrolladores envíen nuevas vulnerabilidades de seguridad a la rama principal. Pero si estos problemas han sido clasificados, entonces pueden reanudar el envío de PR, porque puedes decidir, está bien, esto es malo, pero vamos a trabajar en ello. Está bien que esté en producción por un tiempo. Creo que tal vez para alertas de alta gravedad querrías solucionar ese error de inmediato, pero solo para mostrarte el conjunto de características. Veamos otro, la inyección de código en sitios cruzados reflejada. En este caso, es algo similar. Tenemos información de remediación para esto, algunos enlaces a recursos que puedes consultar para comprender este problema. Nuevamente, tenemos las solicitudes. Aquí hay una pestaña de evidencia, los encabezados, y aquí está la pieza crítica de evidencia que encontró. Indica que es un problema. Así que eso es más o menos eso. Luego, si ejecuto este escaneo nuevamente, vuelvo aquí, voy a hacer algunas cosas menores. Solo hagamos una edición menor a este archivo para iniciar otra compilación de código. Eliminar una línea, confirmar cambios. Ahora se ejecutará otro escaneo y eventualmente, cuando volvamos aquí, veremos más escaneos que aparecen en la lista de escaneos. También ahora puedo volver a las aplicaciones y mostrarte que este gráfico está comenzando a llenarse. Entonces, a medida que soluciones alertas o vulnerabilidades, deberías ver un gráfico de barras donde los elementos antiguos son alertas de alta gravedad y luego se reduce y reduce hasta llegar a cero una vez que hayas solucionado todos tus errores.

Muy bien, estamos recibiendo algunas preguntas. Estoy mirando el chat de Zoom y tenemos nuestras acciones rastreables En el sentido de si las asignaciones están registradas en el registro de auditoría. Sí. Sí, tenemos registros de auditoría. Entonces, um, es posible. Sabes, esta es una herramienta orientada a los desarrolladores, por lo que queremos que los desarrolladores estén en este proceso todos los días. Y queremos que ellos entren y clasifiquen estos problemas y los marquen realmente queremos que se los asignen a sí mismos. Pero si solo entraran aquí y los marcaran como falsos positivos sin realmente saber lo que están haciendo, o tal vez solo intentando ocultarlos. Sí, hay un registro de auditoría disponible en la edición <a href="/tags/enterprise">enterprise</a> de esto a la que puedes acceder. Um, y, um, los profesionales de <a href="/tags/automated-security">security</a> pueden ir y ver esta tarjeta y, y comenzar a analizar. De acuerdo. El estado más reciente de mi entorno de desarrollo, Volnode Express, es que tengo estos problemas, pero parece que uno está asignado y tal vez un par de otros se han aceptado como riesgo. Y, y, y esto es una pista de que un profesional de <a href="/tags/automated-security">security</a> puede ir y mirar, Oye, quiero ir y auditar estas cosas. Y así pueden ir al último escaneo y ver qué elementos se han clasificado del conjunto de alertas. Sí. Hay un registro de auditoría al que puedes acceder en el plan <a href="/tags/enterprise">enterprise</a>. Sí, esa es una excelente pregunta y una característica clave, porque tus auditores querrán ver ese tipo de cosas cuando vengan a revisar tu <a href="/tags/automated-security">security</a>. Como si estuvieras haciendo tu, tu SOC, ya sabes, registros de auditoría. Síagus. Sabes, el proceso de auditoría para tu empresa, ellos vendrán y mirarán ese tipo de registros de auditoría.

Y realmente lo que queremos de ese stackhawk.yaml son solo estas primeras líneas. Y lo que estamos viendo aquí es el archivo de configuración de StackHawk. Tenemos una sección para la aplicación. ¿Cuál es la aplicación que vamos a escanear? Esta representada por el ID de la aplicación, blah, blah, blah que en realidad es la aplicación VulnNode Express. El entorno en el que vamos a escanear se llama desarrollo y puedes tener tantos entornos como desees y puedes llamarlos como quieras. Puedes cambiarle el nombre y simplemente creará perezosamente nuevos entornos en el <a href="/tags/backend">backend</a> para recopilar los <a href="/tags/data">data</a>. Y finalmente, vamos a escanear hosts, local host 3000. Ahí es donde vamos a ejecutar la aplicación cuando la ejecutemos en el pipeline.De acuerdo, voy a copiar esto y vamos a crear un nuevo archivo en nuestro repositorio. Así que regresa a tu repositorio VulnNode Express en la sección de código y vamos a crear un archivo stackHoc justo aquí. Así que quiero que agregues un archivo, crees un nuevo archivo, llámalo stackHoc.yaml y solo pega las primeras líneas del archivo de configuración que acabas de descargar. Deberíamos hacer una pausa aquí y asegurarnos de que todos estén con nosotros. Así que nuevamente, en la base de tu repositorio VulnNode Express, crea un solo archivo, stackHoc.yaml y solo agrega el contenido del archivo stackHoc.yaml que descargaste. Y y podemos confirmar ese archivo. Fácil, así de simple.De acuerdo, y volviendo a la aplicación stackHoc, podemos terminar este proceso. Solo voy a repasar este flujo de inicio una última vez, ten paciencia conmigo, solo para asegurarnos de que todos vean lo que acabamos de hacer. Básicamente estamos configurando una nueva aplicación en la plataforma StackHawk. El primer paso es que te proporciona una clave API que puedes usar para el escaneo. Luego configuramos una aplicación, le dimos un nombre, Vulnode Express, configuramos un entorno de desarrollo y dijimos qué host vamos a escanear. Y finalmente, al final, nos ofrece un archivo stackHoc.yml, que es nuestra configuración inicial. Y este es el ID de la aplicación para Vulnode Express. Y eso está incluido en el stackHoc.yml que acabas de descargar. También hay estos comandos aquí abajo si quieres, puedes ejecutar un escaneo desde tu propia máquina, pero pruébalo más tarde, descarga la aplicación y ejecútala localmente, y luego ejecuta el escaneo a través de la máquina local. De acuerdo, y hemos terminado. Y volvemos a la plataforma. Te mostraré la plataforma un poco más tarde, pero por ahora voy a entrar en esta sección de escaneo. A medida que ejecutamos escaneos, los resultados del escaneo se mostrarán aquí. Y solo para tener en cuenta, el ID de tu aplicación será diferente para cada uno de ustedes, al igual que tu clave API. Es solo una forma para que StackHawk pueda realizar un seguimiento de las diferentes aplicaciones que puedes estar escaneando. De acuerdo. Chat. De acuerdo, voy a volver, para que puedas ver mi pantalla mejor, voy a volver al navegador. De acuerdo, hemos agregado el StackHawk YAML. Ahora necesitamos actualizar nuestro flujo de trabajo para que, así que ve a tu flujo de trabajo de construcción y prueba, está en .github/flujos de trabajo/buildintest.yaml. Y vamos a editar este archivo usando el lápiz aquí. Al final de esto, queremos ejecutar un par de pasos. Ya hemos hecho la instalación limpia de <a href="/tags/npm">npm</a>. Ahora nos gustaría ejecutar la aplicación. Y este es un paso simple de script de shell. Vamos a decir no hop. Necesito mi chuleta. Todo esto está en la chuleta, por cierto, en el libro de guía. De acuerdo, vamos a decir, no hop <a href="/tags/npm">npm</a>, run, start, que inicia la aplicación y la hace escuchar en el puerto 3000 y vamos a agregar este ampersand para que se bifurque en segundo plano y podamos continuar con el siguiente paso. Así que ese ampersand es importante. El no hop también lo desvincula del tty. Así que todo eso es para decir que esto ejecutará tu aplicación, la hará escuchar y también la mantendrá en segundo plano para que podamos pasar al siguiente paso. El siguiente paso es ejecutar el escaneo en caliente. Y eso va a utilizar una acción que creamos para las acciones de GitHub que envuelve la complejidad. Normalmente ejecutas StackHawk como un contenedor <a href="/tags/containers">Docker</a>, pero hemos hecho esta integración con las acciones de GitHub.

Entonces, <a href="/tags/github-actions">Github Actions</a> es, una vez más, es una herramienta de <a href="/tags/ci-cd">CI</a>/<a href="/tags/ci-cd">CD</a> que está integrada directamente en tu repositorio. Todos usamos Github, estoy bastante seguro. Así que ya tienes esto, si no has oído hablar de ello, ya lo tienes disponible. Utiliza un lenguaje de configuración YAML muy simple para establecer pipelines. Y tiene un gran mercado de lo que se llaman acciones. Y las acciones son como estos complementos que reducen tareas complicadas a una sola línea o dos líneas de acción que puedes agregar a tu pipeline YAML. Es impulsado por eventos, por lo que normalmente desencadena flujos de trabajo, que es lo que se llaman los pipelines. Desencadena flujos de trabajo en varios tipos de eventos de Github. Por lo tanto, estos podrían ser como un push o una solicitud de extracción, pero también podrían ser llamadas de API arbitrarias a Github. Por lo tanto, puedes activarlos de varias formas y también puedes hacer que los flujos de trabajo activen otros flujos de trabajo. Por lo tanto, realmente puedes configurar pipelines complicados y sofisticados con ello. <a href="/tags/github-actions">Github Actions</a> también tiene gestión de secretos incorporada y eso siempre es importante cuando se habla de herramientas de seguridad. Nunca quieres mantener secretos directamente en tu repositorio porque eso nunca desaparecerá. Una vez que entra en tu historial, es difícil eliminarlo. Esa es una mala práctica de seguridad. Si tienes una cuenta personal, si tienes una cuenta gratuita de GitHub, en realidad tienes 2,000 minutos gratuitos de <a href="/tags/github-actions">Github Actions</a>, lo cual es mucho. Puedes hacer mucho con eso. Es bastante generoso. Entonces, aquí tienes solo un pequeño ejemplo de cómo se ve un flujo de trabajo de Github. Todo lo que tienes que hacer es poner un archivo YAML en esta estructura de directorios en tu proyecto. Por lo tanto, en tu proyecto, creas un directorio .github, .github/workflows y luego un archivo YAML allí. Tenemos una pregunta. La pregunta es, ¿los 2,000 minutos son por usuario o por proyecto? Creo que son por usuario. Es por cuenta de usuario. Por lo tanto, en este ejemplo de flujo de trabajo, solo te mostraré la taxonomía simple. En cada uno, tienes un nombre para ello, y esto en realidad es opcional. Pero esto es solo para que este flujo de trabajo se muestre correctamente en la consola de <a href="/tags/github-actions">Github Actions</a> mientras ves cómo se ejecutan tus trabajos. Esta declaración `on` dice, `oye, ¿qué desencadena este flujo de trabajo?` Y en este caso, son push y pull requests. Por lo tanto, cualquier pull request lo activará y cualquier push a la rama principal lo activará. Y esta es una configuración común en la que quiero ejecutar todas las construcciones y pruebas cada vez que hago una solicitud de extracción a mi repositorio. Y luego, cuando lo empujo a la rama principal, quiero ejecutar esas pruebas una última vez solo para verificar que todo esté bien. Dentro de un archivo de flujo de trabajo, puedes tener un conjunto de trabajos, y en este flujo de trabajo, tenemos un solo trabajo llamado `build`. Y en `build`, vamos a ejecutar en una máquina virtual de Ubuntu, por lo que inician una máquina virtual completa de Ubuntu para ti, también tienen máquinas Windows. Y luego vamos a ejecutar estos pasos en secuencia. Ahora, puedes tener varios trabajos y los trabajos, por defecto, se ejecutarán en paralelo. Por lo tanto, ya tienes una opción de pipeline paralelizado bastante genial. Pero en nuestros ejemplos, solo vamos a hacer un solo trabajo con pasos que ocurren en secuencia. Por lo tanto, el primer paso suele ser revisar el código y esto, por defecto, revisará el hash de Git del commit en el que estás trabajando en tu solicitud de extracción o push de rama. Por lo tanto, revisa el código y luego, en este caso, lo que vamos a hacer es configurar Node. Por lo tanto, esta es solo una de esas acciones en el mercado, en realidad es una de las acciones incorporadas que simplifica el proceso de configurar la versión correcta de <a href="/tags/nodejs">Node.js</a>. Y simplemente dirías, `con` y esto es como los parámetros. Con la versión de Node 14X, continuemos con los siguientes pasos. Por lo tanto, este instala 14X, también tienen, por supuesto, como 10, 12, 14, 16. Incluso puedes configurar una matriz donde se expandirá y construirá esto con varias versiones de Node. Tenemos una pregunta, ¿podemos seleccionar diferentes sistemas operativos? Sí, sí podemos. Windows, por ejemplo, no sé si hay, no sé si hay diferentes distribuciones de Linux, hay opciones. Y finalmente, este flujo de trabajo va a instalar las dependencias, así que simplemente hace <a href="/tags/npm">npm</a> clean install. Y eso es básicamente, eso es cómo funciona <a href="/tags/github-actions">Github Actions</a>. Así que con eso, hagamos uno nosotros mismos. Ahora vamos a ir a, voy a abrir esta guía, el libro de guía del taller, las <a href="/tags/github-actions">Github Actions</a>.

luego inicias el escáner DAST. El escáner DAST sondea la aplicación. Básicamente, busca un puerto abierto HTTP o HTTPS. Y va a rastrearlo y buscar cualquier ruta que pueda probar. Y por cada ruta que encuentre, enviará solicitudes de prueba y analizará las respuestas de prueba de la aplicación. Y a partir de esas sondas y respuestas, intenta determinar si existen vulnerabilidades. Es genial porque informa sobre vulnerabilidades sospechosas con detalles de entrada y salida. Por lo tanto, puedes tomar esas entradas y salidas y reproducirlas tú mismo contra la aplicación y convencerte de que lo que encontró es realmente un problema. Por lo general, tiene ejemplos concretos muy buenos. Encuentra tus errores y no sufre de falsos positivos elevados. A veces puede haber falsos positivos, pero la tasa es mucho menor que con SAST. Y cuando encuentra problemas, esos problemas realmente se expresan en tu aplicación sin lugar a dudas. En SAST podrían ser teóricamente explotables, pero en DAST sabes que tienes un problema si encuentra un problema real y determinas que es real. Por lo tanto, la exploración DAST puede ser un poco lenta y eso realmente varía según cómo escanees. Por lo general, hay muchas opciones de ajuste en las herramientas DAST para acelerar los escaneos o limitar el alcance del escaneo. Si es una especificación de API abierta que estás escaneando, por ejemplo, puedes decir: `Oye, solo quiero enfocarme en estas rutas`. Puedes dividirlo y ejecutar diferentes escaneos. De todos modos, hay formas de acelerarlo, pero esas son las características de DAST. Los tipos de herramientas disponibles para esto son StackHawk, que es nuestra aplicación, OWASP-ZAP, que es la aplicación de código abierto más popular para la exploración DAST, y StackHawk está basado en OWASP-ZAP. Lo hemos tomado y le hemos agregado algunas cosas y hemos tratado de facilitar mucho la automatización. Y finalmente, BurpSuite es una herramienta muy conocida. Es uno de los jugadores antiguos en el espacio y es una herramienta muy popular para los probadores de penetración. No la veremos hoy, pero creemos, obviamente estamos sesgados, pero creemos que StackHawk es la mejor y tú puedes juzgar por ti mismo. La probaremos un poco más tarde. Quiero ver si alguien tiene alguna pregunta antes de continuar. Tenemos una pregunta en el discord. Si alguien tiene recursos limitados, ¿con qué tipo de pruebas deberían comenzar? Esa es una excelente pregunta. Yo diría que SCA es tan fácil que todos deberían tenerlo activado en todos sus repositorios. Solo toma un par de clics en un repositorio de GitHub para activarlo. Más allá de eso, porque eso casi no cuenta, es tan fácil, más allá de eso, diría que realmente DAST es la mejor opción porque realmente encuentra los errores en tu aplicación. Tiene menos falsos positivos. Y generalmente tiene resultados muy buenos. Y parece que podría haber otra pregunta en camino. Alguien estaba escribiendo, Así que esperaremos un segundo para que terminen. Viendo esos tres puntos suspensivos... punto punto punto escribiendo. Tres puntos. Bueno, avísame cuando llegue. Voy a avanzar. ¿Qué servicios son mejores para usar en la <a href="/tags/testing">testing</a> de aplicaciones... ¿Es MaPOT? No estoy seguro de cómo se pronuncia eso. Gracias. Sí. ¿Cuál de los tres es mejor para usar en la <a href="/tags/testing">testing</a> de aplicaciones? Nuevamente, diría DAST. SCA es tan simple que es excelente para cualquier tipo de software. Si te refieres a una aplicación, si te refieres a una aplicación en línea, como una aplicación web o una API, definitivamente DAST es la mejor opción para eso. Ahora, si tienes una aplicación que es más como una aplicación de escritorio o algo que no tiene una API web o un punto final <a href="/tags/graphql">GraphQL</a> o una API SOAP, si es más una aplicación de escritorio o de cliente, SAST es en realidad una mejor herramienta para eso. Aunque obtendrás muchos falsos positivos con una aplicación como esa que no está escuchando solicitudes entrantes, DAST no se aplica realmente. DAST se centra realmente en API, aplicaciones web, puntos finales <a href="/tags/graphql">GraphQL</a>, cosas así. Sí, todas las herramientas DAST asumen una interfaz de navegador o una interfaz de API. Por lo tanto, si no tienes ninguna de estas, son un poco irrelevantes. Genial, gracias, estas son excelentes preguntas. Bien, lo primero en lo que vamos a entrar es en <a href="/tags/github-actions">Github Actions</a> en sí.

Así que buscaremos comunicarnos a través de Discord. Y si no recibes noticias nuestras, siempre puedes buscarme. Siempre estoy en Discord, así que puedes contactarme enviándome un mensaje directo allí. Muy bien. Gracias a todos. Correcto. Gracias. Gracias por asistir. Fue divertido trabajar juntos con todos. Sí, lo pasé muy bien. Gran audiencia. Creo que les gustó el espectáculo. Amamos a la audiencia. En serio, ha sido el mejor. A veces es difícil en estas comunidades en línea, en los talleres en línea, recibir comentarios de las personas. Y ustedes se estaban ayudando mutuamente. Esto es increíble. Sí. Definitivamente fue una gran audiencia. Así que gracias a todos. Nos vemos chicos más tarde. Nos vemos en la próxima. Hasta luego.

Y luego, inmediatamente, tuvimos siete alertas de seguridad bajo Dependabot y la pestaña de seguridad con las alertas de Dependabot. Y pug fue uno de ellos que encontró que era un problema. Vimos la recomendación y la vulnerabilidad y vimos que automáticamente emitió una solicitud de extracción, se ejecutó a través de nuestras acciones existentes de GitHub para asegurarnos de que no introdujera ningún problema al intentar actualizar esto. Y ahora estamos invitados a fusionar la solicitud de extracción. ¡Boom, problema resuelto! Con el tiempo, es probable que emita más solicitudes de extracción.Uh oh, sí, no lo descubrí. Estamos obteniendo esa puntuación de gravedad de, ¿es algo como CVE o algo así? Sí, creo que es el CVE. Entonces podemos hacer clic en uno de estos y ver los detalles. Sí, CVE 2020.778 y puedes hacer clic para ver el aviso. Oh, eso es genial, muy elegante. Súper elegante, sí, una herramienta realmente excelente, y Sneak tiene características similares a esta. Sneak es otro que deberías revisar si estás interesado en este tipo de herramienta.De acuerdo, tenemos que seguir avanzando. Volvamos a mis diapositivas, así que acabamos de hacer Dependabot y ahora vamos a ver CodeQL, análisis estático. Nuevamente, con SAST, análisis estático o pruebas de seguridad estáticas, este va a rastrear tu código, compilarlo, ponerlo en una base de datos y ejecutar una serie de consultas en busca de patrones de código vulnerables. Nuevamente, puede tener algunos falsos positivos, pero con el tiempo, estas herramientas están mejorando cada vez más. Y para esta herramienta en particular, CodeQL, hay una biblioteca de complementos de código abierto para ella o consultas para ella. Por lo tanto, las personas están contribuyendo constantemente con nuevas verificaciones para patrones que podrían indicar vulnerabilidades. CodeQL es gratuito para proyectos de código abierto y públicos, pero no es gratuito para proyectos privados. Eso es algo a tener en cuenta. Entonces, si tienes un proyecto privado y quieres usar CodeQL, debes usar la licencia de seguridad de GitHub, no estoy seguro cuál es el costo, pero es un número de dólares por mes por usuario. Y lo que CodeQL hará cuando lo configuremos es configurar un flujo de trabajo en <a href="/tags/github-actions">GitHub Actions</a>. Así como el que configuramos, pero este usa uno diferente, por lo que se ejecutará en cada push, cada solicitud de extracción. Y este es nuevo, se ejecuta según una programación. Por lo tanto, se ejecuta como una tarea cron, no estoy seguro de qué es. Creo que es una vez a la semana, se ejecutará automáticamente, ya sea que hagas check-in de código o no.De acuerdo. Comencemos. Volvamos a nuestro repositorio y hagamos clic en la pestaña de seguridad. Puedes configurarlo aquí o puedes configurarlo donde estábamos en configuración, seguridad y análisis, análisis de código aquí. Ambos te llevan al mismo lugar. Así que voy a volver a la pestaña de seguridad y buscar alertas de análisis de código aquí abajo, y hacer clic en el botón de configuración del análisis de código. Y aquí, verás que hay un gran catálogo de herramientas de análisis estático. Y señalaré que Sneak está ahí y StackHawk también está ahí. Pero vamos a usar CodeQL de GitHub. Así que vamos a configurar este flujo de trabajo, haz clic en este botón y nos lleva a un editor donde estamos editando otro flujo de trabajo, al igual que el primero que configuramos para <a href="/tags/github-actions">GitHub Actions</a>. Y nuevamente, se ejecutará en cada push a main, cada solicitud de extracción a main y según una programación cron una vez a la semana. Tiene un solo trabajo, en realidad tiene, veamos, tiene un solo trabajo llamado analyze. Se ejecutará en una máquina Ubuntu al igual que la nuestra, blah, blah, blah, blah, blah. Y puede ejecutarse a través de una matriz. Por lo tanto, si encuentra varios lenguajes, configurará una entrada de matriz para cada lenguaje y los ejecutará todos en paralelo. No tienes que editar nada en este archivo, solo te estoy mostrando lo que hay aquí. Liaz dice que lo tiene configurado para ejecutarse cada cinco minutos. Recomiendo que reduzcas esa frecuencia porque agotarás tus 2000 minutos, tus 2003 minutos. Así que es posible que desees reducir eso. Incluso puedes eliminar por completo la programación cron, simplemente elimina esta línea. De acuerdo, continuemos.

Pregunta en el chat de Zoom de Kaatal, está preguntando si la cobertura del lenguaje de <a href="/tags/javascript">JavaScript</a> incluye a <a href="/tags/typescript-libraries">TypeScript</a>. Esa es una gran pregunta. No estoy seguro. Apostaría a que sí, pero no estoy seguro. Es una gran pregunta. Creo que deberías probarlo en tu aplicación <a href="/tags/typescript-libraries">TypeScript</a> y ver qué hace. No lo he probado yo mismo. Tengo la corazonada de que intentará compilarlo a <a href="/tags/javascript">JavaScript</a> y funcionará.De acuerdo. Luego pasa por sus pasos. Clonará el repositorio, inicializará CodeQL. Intentará construir tu aplicación. Hay algunas notas aquí que dicen que si esto no funciona, si ves un error, deberás ingresar algunos pasos aquí para construir tu propio código. Pero es bastante bueno en esto y generalmente funciona. Y sé que con este proyecto, el autobuilder hace el trabajo. El autobuilder funciona. Bueno, parece que Begatain ya encontró la respuesta. El soporte para <a href="/tags/typescript-libraries">TypeScript</a> está incluido en las bibliotecas de CodeQL para <a href="/tags/javascript">JavaScript</a>. Eso es todo. Gracias. Y finalmente realiza el análisis de CodeQL.Entonces, si hacemos este commit, creamos el flujo de trabajo de análisis de CodeQL, deberíamos ver que se ejecuta de inmediato. Y así, con este commit create codeQL analysis.yaml, ese es el mensaje de commit. Puedes ver que tenemos dos flujos de trabajo en ejecución, ambos se ejecutan en paralelo. El primero que configuramos se llama build and test y este nuevo se llama codeQL. Podemos verlo ejecutarse. Este es un poco más complicado. Pasó por la construcción automática. Ahora está ejecutando el análisis de CodeQL. Está ejecutando todas estas consultas en nuestro código. Quemando, quemando, quemando. Esperemos que esto no tarde mucho para la gente. Estamos recibiendo muchos pulgares arriba aquí. Danos un pulgar arriba en el chat de Discord si has configurado CodeQL, si esto está funcionando para ti. Recuerda ir a la pestaña de Acciones y verificar el progreso y ver si se está ejecutando. Un ejemplo de algo que el análisis de código estático podría estar buscando es si estás haciendo algo desaconsejado como tomar la entrada del usuario y pasarla a una declaración SQL sin escapar, o de otra manera, validar esa entrada, entonces esta herramienta intentará buscar cosas como esa y te advertirá, y te dirá, hey, amigo, eso probablemente no es una buena idea. Se recomienda que hagas alguna forma de validación de tus entradas para prevenir ataques de inyección SQL.De acuerdo, probablemente... probablemente los participantes todavía están ejecutando sus escaneos de CodeQL, pero voy a ir a la pestaña de seguridad y ver si CodeQL encontró algo. Tiene una alerta. ¿Qué sabes? Así es como se ven los resultados de CodeQL y de otras herramientas de escaneo de código si las integras de la misma manera. GitHub permite que otras herramientas de escaneo de código se integren en esta interfaz. Hay muchas herramientas que producirán resultados aquí. Verás este tipo de lista. Hey, encontré un problema: consulta de base de datos construida a partir de fuentes controladas por el usuario. Este es un problema de alta gravedad. Puedes hacer clic aquí. También te muestra el contexto. Entonces, si no encuentra las cosas que pensaste que debería encontrar, es posible que desees ajustar este filtro para ver si se encuentra en alguna otra rama. De acuerdo, hagamos clic en esta alerta: consulta de base de datos construida a partir de fuentes controladas por el usuario. Nos da un pequeño resumen.

Y lo primero que queremos hacer es ir a la aplicación Vuln node express. Así que queremos abrir este repositorio y lo pegaré, lo siento. Nick va a pegarlo. Así que todos podemos ir allí. Vamos a usar el pulgar hacia arriba de nuevo una vez que hayas completado ese paso de bifurcarlo en tu propio repositorio. Y si tienes algún problema, también puedes usar el pulgar hacia abajo y luego lo veremos e intentaremos ayudarte si tienes algún problema técnico.Tenemos una mano levantada, veamos. Joseph, estás en línea, estás en silencio. Joseph, ¿tienes alguna pregunta? Actualmente estás en silencio. Adelante. Lo siento, solo estaba tratando de averiguar cómo hacer el pulgar hacia arriba. Me equivoqué, levanté la mano. No hay problema, gracias Jos. Sí, lo aprecio. De acuerdo, bien, así que estamos aquí en la aplicación Vulne Merge Express. Esta es la que vamos a bifurcar para poder probarla. Así que simplemente ve a este botón de bifurcación en GitHub bajo Vulne Node Express y simplemente haz clic en ese botón. Y para mí, lo voy a mover a mi organización Zconger, mi organización personal. Recomiendo que hagas lo mismo. Y ahí vamos. Entonces, cuando hagas eso, deberías ver que tienes una copia de Vulne Node Express en tu organización. Y puedes ver que se bifurcó de este otro repositorio. En eso vamos a trabajar. Voy a esperar un momento y esperaremos el pulgar hacia arriba para asegurarnos de que otras personas pudieron bifurcarlo. Mientras tanto, voy a volver a trabajar aquí. Pudimos bifurcarlo. Mientras tanto, me voy a ir porque creo que olvidé restablecer algo para mi demostración aquí. De acuerdo. Genial. Nuevamente, en Discord, Marat pregunta si deberíamos abrir esto en un IDE. En realidad, vamos a hacer todo esto en el navegador. Puedes descargarlo y abrirlo en tu IDE si quieres, pero en realidad ni siquiera vamos a iniciar esta aplicación. Puedo hacerlo un poco más tarde si quieres, y tú también puedes hacerlo. De acuerdo. Solo para mostrarlo de nuevo, una vez más, si vas al repositorio de Kakaa Vulnode Express, simplemente haz clic en el botón de bifurcación aquí arriba, y puedes bifurcar una copia en tu propio repositorio. Así que tenemos 16, danos un pulgar hacia arriba en Discord para el repositorio Vulnode express. Si pudiste bifurcarlo en tu propio repositorio, genial. Muchos pulgares hacia arriba. Muy bien. Genial. ¿Qué piensas, Nick? ¿Deberíamos avanzar? Sí, hagámoslo. Genial. De acuerdo, así que tenemos nuestra cuarta copia de Fullnode Express. Si lo ejecutáramos, es solo una API simple. Si quieres probarlo tú mismo, tal vez lo hagas un poco más tarde, pero puedes. Tenemos un buen readme aquí. Puedes ejecutar esto tú mismo e incluso probar algunas vulnerabilidades. Intenta explotar la aplicación. Vamos a dejar que las herramientas lo hagan todo por nosotros.

Entonces, lo primero que queremos hacer es, lo que estamos aquí para hacer es configurar nuestra primera acción de GitHub. Así que vamos a configurar un nuevo flujo de trabajo y lo haremos aquí mismo en el navegador. Ve a 'add file', crea un nuevo archivo. Queremos configurarlo en el directorio .github y, dentro de ese directorio, en el directorio workflows. Vamos a configurar un archivo llamado buildandtest.yaml. Esta estructura de directorios es muy importante. <a href="/tags/github-actions">GitHub Actions</a> busca de forma predeterminada en el directorio .github/workflows. Y cualquier archivo YAML que encuentre allí, asumirá que es un flujo de trabajo de acción. Y eso es lo que estamos creando. Llámalo buildandtest.yaml. Le daremos un nombre, al igual que en el ejemplo anterior, build and test. Lo ejecutaremos cada vez que hagamos un envío a la rama principal. Y también lo haremos cada vez que hagamos una solicitud de extracción a cualquier rama. La indentación es importante aquí. Esto es YAML. Dos espacios para cada sangría. Y ten en cuenta que si te quedas atascado aquí, puedes consultar esto. Esto es exactamente en lo que estoy trabajando. Así que si tienes algún problema con este nuevo archivo que estamos creando, siempre puedes copiar y pegar desde allí.

Tenemos una pregunta de Jim. Está preguntando si estamos verificando las ramas principales en lugar de las ramas de solicitud de extracción. ¿Es eso solo para simplificar el tutorial o es una mejor práctica? Entonces, en este caso, es por fines de tutorial. Es por eso que estamos verificando el código directamente en y simplemente lo comprometemos desde el navegador web. Sí, en una situación de trabajo real, querrías hacer solicitudes de extracción y que se verifiquen en las solicitudes de extracción. Excelente pregunta, gracias.De acuerdo, eso es CodeQL. Veamos si alguien tiene alguna otra pregunta. ¿Cómo podemos hacerlo solo para las solicitudes de extracción? Entonces, si tienes un código con una capacidad determinada, estoy recibiendo muchas preguntas. ¿Cómo podemos hacerlo solo para las solicitudes de extracción? Entonces, cuando configuramos eso, en realidad configuramos un flujo de trabajo llamado CodeQL analysis.yaml, y puedes editar este archivo y cambiar el comportamiento. Ahora mismo está configurado para ejecutarse cada vez que hacemos push directamente a la rama principal, pero podríamos simplemente eliminar toda esta sección de push y hacer que se active solo en las solicitudes de extracción a la rama principal. Y en ese caso, si quieres, puedes eliminar este trabajo cron. El trabajo cron está ahí porque si este es un repositorio de código en el que no trabajas con mucha frecuencia y podrían pasar meses sin ninguna acción, el trabajo cron ayuda a mantenerse al día con las nuevas vulnerabilidades a medida que se encuentran. Muy bien. Eso es CodeQL y parece que mucha gente lo está utilizando. Es bastante genial.Finalmente, la última herramienta en nuestra caja de herramientas será StackHawk. Y nuevamente, este es un ejemplo de un escáner DAST. Entonces, lo que vamos a hacer con esto es ejecutar este escáner DAST en la canalización. Y para hacer eso, necesitamos poner en marcha nuestra aplicación, hacerla funcionar en la canalización, y luego poner en marcha el escáner y hacer que escanee la aplicación mientras se está ejecutando. Para hacer eso, este es un ejemplo de un archivo de configuración de StackHawk. No lo mires, no es muy relevante. Necesito una mejor imagen aquí. Pero nuevamente, solo para refrescar, CAST es Prueba de Seguridad de Aplicaciones Dinámicas (DAST, por sus siglas en inglés). StackHawk se basa en el proyecto de código abierto OWASP ZAP, que también es un gran proyecto que deberías revisar. Pero StackHawk ha trabajado arduamente para hacer que esta herramienta sea muy fácil de usar en una canalización, muy fácil de instrumentar en una canalización. Hay una cuenta gratuita disponible para desarrolladores, y eso es lo que vamos a ver hoy. Así que todos vamos a registrarnos para obtener una cuenta gratuita, gratis para siempre. Tiene una configuración YAML sencilla, solo un archivo de configuración que necesitamos configurar para indicarle al escáner cómo trabajar. Y sin más preámbulos, vamos a configurarlo. Entonces, lo que vamos a hacer, Oh, gracias, Nick. Nick proporcionó un enlace a app.stackhawk.com. Y desde allí, puedes configurar tu propia cuenta nueva. Cuando llegues allí, te recibirán con esta pantalla, queremos registrarnos para obtener una nueva cuenta. Puedes configurar una nueva cuenta en función de tus credenciales de GitHub, o tus credenciales de Google, o tu propia dirección de correo electrónico. Si eliges el registro por correo electrónico, está bien, solo lleva un poco más de tiempo porque necesitas configurar tu propio nombre de usuario y contraseña, y luego se verificará tu correo electrónico. Así que tienes que ir a tu correo electrónico y verificar y hacer clic en eso. Así que lleva un poco más de tiempo. Voy a usar, voy a usar Google para el mío, y voy a usar una de mis muchas identidades alternativas. Cuando te registres por primera vez, espero que todos estén aquí, solo para mantener las cosas claras para mí, voy a llamarlo Zachary Congress <a href="/tags/workshop">Workshop</a> Org. Puedes poner el nombre de tu organización como quieras. Y parte de la idea de esto es facilitar el trabajo con esta herramienta en equipos, y por eso tenemos un nombre de organización. Y si más adelante utilizas esto en tu organización, por supuesto, puedes invitar a otras personas a tu organización para trabajar en equipo. Pero hoy solo somos desarrolladores independientes. Continúa y regístrate para obtener la cuenta de desarrollador gratuita. Haz clic en continuar. Quiero decir, si quieres pasar, puedes hacerlo también, pero recomiendo la cuenta gratuita. Y luego, cuando llegues a esta parte, haz clic en escanear mi aplicación. Si seleccionas Google Fire &amp; Range, eso solo carga algunos datos de muestra, para que puedas comenzar a jugar con la interfaz gráfica de inmediato sin escanear, pero vamos a escanear de inmediato. Así que haz clic en escanear mi aplicación y continúa.

Entonces es un poco más fácil, pero en segundo plano hará lo mismo. Ejecutará el escaneo en caliente como un contenedor <a href="/tags/containers">Docker</a>. Puedo mostrártelo. Así que utiliza Stackhawk, la acción de escaneo en caliente en la versión 1.3.1, la más reciente. Necesitamos darle un parámetro, y ese es la clave API. Así que API en mayúsculas KEY, y la clave API será esa clave que guardamos en secretos. Ese es el formato. Así que esto lo sacará del almacén de secretos y lo llenará y lo enviará a Hawk scan para que cuando se ejecute, pueda usar la clave API para conectarse de vuelta a la plataforma y enviar los resultados. Voy a hacer el check-in del mío. Danos un pulgar arriba si ya hiciste el check-in del tuyo. Y nuevamente, esta es la sección que agregamos aquí mismo. Simplemente estamos tomando nuestro flujo de trabajo existente y agregamos estos dos pasos. Ejecutar la aplicación, no hop <a href="/tags/npm">NPM</a> run start ampersand y ejecutar el escaneo Hawk, utilizando la acción de escaneo Hawk versión 1.3.1 e ingresando la clave API desde el almacén de secretos.

Y dice, hola, bienvenido a StackHawk. Y te dice lo que vamos a hacer, que es pasar por un flujo de trabajo de inicio. Y esto configurará nuestra clave API. La clave API se utiliza para que el escáner pueda comunicarse con la plataforma. Cada vez que se ejecuta el escáner, descargarás un escáner <a href="/tags/containers">Docker</a> que puedes ejecutar junto a tu aplicación para escaneos rápidos. Pero cuando termine el escaneo, enviará todos los <a href="/tags/data">data</a> recopilados a la plataforma StackHawk, para que puedas volver aquí y analizar los <a href="/tags/data">data</a>. Y lo veremos.Así que vamos a empezar. Lo primero que hace por nosotros es decir, aquí está tu clave API. Esto es para que el escáner pueda acceder a la plataforma. También recomienda, según si tienes Windows, o Bash en un Macintosh o en un equipo Linux, puedes copiar estos comandos y ejecutarlos en tu aplicación de <a href="/tags/cli">terminal</a> para guardar tu clave en tu estación de trabajo en un lugar estandarizado. Y puedes hacer esto si quieres. Puede ser útil en el futuro si quieres seguir experimentando con esto después del taller. Pero ahora quiero que copies esta clave y la configuremos como un secreto en <a href="/tags/github-actions">GitHub Actions</a>. Así que copia la clave API y luego vuelve a tu aplicación Volnode Express, ve a configuración y en la configuración, en el lado izquierdo deberías encontrar un panel de secretos. Aquí es donde guardamos secretos que se pueden utilizar en flujos de trabajo de <a href="/tags/github-actions">GitHub Actions</a>. Vamos a guardar este secreto, llámalo hoc underscore API underscore key, y pega el valor. Y luego agrega ese secreto. Esto lo hace disponible en un formato cifrado para que nadie pueda acceder a él, no está guardado en el repositorio. A menudo se guarda en un almacén de secretos separado para mayor seguridad. Pero es fácil de usar en flujos de trabajo para que podamos usarlo más tarde cuando vayamos a escanear nuestra aplicación y luego poder autenticarnos de forma segura en la plataforma StackHawk. Así que estamos agregando ese secreto. Y luego volvamos a StackHawk.De acuerdo, espero que todos hayan configurado su clave API. Danos un pulgar hacia arriba si estás con nosotros. Y pasemos al siguiente paso, que es configurar nuestra aplicación. Entonces, en StackHawk, en la plataforma, tienes que crear una plataforma. Tienes varias aplicaciones y puedes darles el nombre que quieras. Voy a llamar a la mía, ¿cómo se llama? VulnNodeExpress. Por lo general, solo las nombro según el nombre del repositorio, de todos modos, VulnNodeExpress es el nombre de la aplicación, pero en el fondo, se configurará esta larga cadena UUID, que será importante más adelante. VulnNodeExpress, haz clic en siguiente. Ahora quiere que selecciones un entorno y elijamos desarrollo. La idea aquí es que es posible que desees escanear esta aplicación, VulnNodeExpress, en muchos entornos diferentes, tal vez desarrollo, tal vez localmente, tal vez pre-producción, incluso producción, aunque no lo recomendamos. Siempre es mejor pre-producción, detectar los errores antes de que lleguen a producción. Luego, quieres nombrar el host. Será, en nuestro caso, HTTP localhost Puerto 3000. Y el formato aquí es importante. Es HTTP, no HTTPS. localhost Puerto 3000. No pongas una barra diagonal al final, nuestro archivo de configuración es un poco exigente con eso. Así que, localhost Puerto 3000. Y luego, nos pedirá que descarguemos el archivo stackhawk.yaml. Y creo que tendré que ampliar esto a mi escritorio completo aquí. ¿Estás viendo mi escritorio completo ahora? Sí. De acuerdo. ¿Lo ves? A ver. Entonces, cuando vengas aquí, debes hacer clic en el botón descargar stackhawk.yaml para descargar el archivo de configuración inicial. Voy a ajustar esto rápidamente. Entonces, cuando lo descargues, en mi caso, debería estar aquí, stackhawk22.yaml. Ábrelo en mi editor de texto.

Una cosa a tener en cuenta acerca de estas sondas es que pueden ser destructivas. Es un escáner agresivo y esta es una de las razones por las que no recomendamos ejecutarlo en producción, ya que intentará hackear tu sitio y cambiará <a href="/tags/data">data</a> en tu base de datos y cosas así. Así que ten cuidado si quieres ejecutarlo en producción. Tenemos clientes que lo hacen con éxito, pero debes ser consciente del hecho, de que intentará causar un poco de daño mientras realiza sus escaneos. Volviendo a los hallazgos. Si haces clic en un hallazgo individual, tomemos la inyección de SQL como ejemplo, te dará muchos detalles sobre lo que encontró. Ampliemos un poco aquí. Entonces, primero dice, encontró una inyección de SQL. Está en esta categoría. Habla sobre la remediación y qué es y cuáles son los riesgos. Y se enlaza a algunas hojas de trucos para diferentes plataformas que podrías estar utilizando. En el panel derecho, tenemos detalles de la solicitud. Muestra la mayor cantidad de información posible sobre la sonda que lanzó contra tu aplicación. Realizó una solicitud a tu aplicación. Hizo una publicación en ella. Estos son los encabezados que envió, y luego este es el cuerpo que intentó enviar. Intentó enviar un poco de, en realidad, no estoy seguro de qué intenta lograr esto. Pero luego la respuesta que obtuvo fue, ¿dónde obtenemos resultados de búsqueda para Zap y uno es igual a uno? Así que determinó que podía realizar un pequeño cálculo, creo que es a lo que se refiere.

Vue.js Live Conference

Vue.js London Live 2021

JS Security Testing in GitHub Actions

Pruebas de seguridad de JS en GitHub Actions

La masterclass de hoy cubrió tres tipos de pruebas de seguridad: SCA, SAST y DAST. El escaneo DAST proporciona ejemplos concretos y tiene una menor tasa de falsos positivos. GitHub Actions es una herramienta de CI/CD con flujos de trabajo basados en eventos y gestión de secretos incorporada. Se recomienda Dependabot para el escaneo de vulnerabilidades, mientras que CodeQL es una herramienta de análisis estático. StackHawk es un escáner DAST que se puede integrar fácilmente en los pipelines.

El desarrollo de software ha cambiado: implementaciones frecuentes, APIs, GraphQL, arquitectura en la nube y automatización de CI/CD son la norma. Entonces, ¿por qué las pruebas de seguridad siguen siendo las mismas que hace una década?Los equipos líderes se están dando cuenta de que las pruebas de penetración periódicas y las auditorías de seguridad no son suficientes cuando el código se envía a diario. En cambio, estos equipos están utilizando herramientas centradas en los desarrolladores para ejecutar pruebas de seguridad automatizadas en un pipeline de CI/CD. Únete a Zachary Conger mientras te guía sobre cómo automatizar las pruebas de seguridad de aplicaciones JS utilizando GitHub Actions. <a href="https://www.froala.com/wysiwyg-editor?pb=1"> </a>

Zachary Conger

JS Nation

I’m attending JSNation – the main JavaScript conference of the year. You may join me there for free with 10k other JS engineers and 40+ great speakers. Just follow this badge. 

#javascript

JSNation 2024

C3 Dev Festival

Join me at C3 Dev Fest, a contemporary software engineering festival!

Register to win an all-paid trip to Amsterdam. Elevate your career with industry experts and workshops & rock 3 dance stages at the after-party!

C3 Dev Festival 2024

React Summit

I am attending the biggest #Reactjs conference remotely. You may get a limited free ticket (50% of talks, no workshops) and join me by clicking this badge.

#react #reactjs

React Summit 2024

TechLead Conference

I'm attending TechLead Conference 2024 – get your free remote ticket and join me there

TechLead Conference 2024

React Advanced

React Advanced Conference 2024

Productivity Conference

Productivity Conference 2024

JSNation US

I’m attending JSNation US. Join me there for free with 10k other JS engineers and 50+ great speakers. Just follow this badge.