Pruebas de seguridad de JS en GitHub Actions

El análisis de composición de software (SCA) es un tipo de prueba de seguridad que examina el catálogo de dependencias de un proyecto para identificar vulnerabilidades conocidas en las bibliotecas utilizadas. Opera sobre archivos como package.json y package-lock.json, comparando las versiones de las dependencias con una base de datos de vulnerabilidades conocidas, sin generar falsos positivos.

Algunas herramientas populares para realizar análisis de composición de software incluyen Dependabot, Snyk y FOSA. Dependabot y Snyk son especialmente reconocidos por su eficacia en detectar vulnerabilidades en las dependencias.

SAST (Pruebas de Seguridad de Aplicaciones Estáticas) es un tipo de escaneo que analiza el código fuente para identificar patrones que puedan indicar la presencia de vulnerabilidades de seguridad. A diferencia del SCA, que se centra en las dependencias externas, SAST busca problemas directamente en el código escrito por los desarrolladores.

DAST (Pruebas de Seguridad de Aplicaciones Dinámicas) analiza la aplicación en ejecución, simulando ataques contra la aplicación activa para identificar vulnerabilidades. Opera enviando solicitudes y analizando las respuestas para detectar problemas, y es útil para encontrar vulnerabilidades que realmente se expresan en la aplicación en funcionamiento.

GitHub Actions permite integrar pruebas de seguridad automatizadas directamente dentro de los flujos de trabajo de CI/CD. Se pueden configurar acciones para ejecutar herramientas de SCA, SAST, y DAST cada vez que se realiza un push o una pull request, utilizando archivos de configuración YAML para definir los pasos del flujo de trabajo.

Para proyectos con recursos limitados, se recomienda comenzar con SCA por su facilidad de implementación y por ser menos propenso a falsos positivos. Posteriormente, DAST es una buena opción para aplicaciones web y APIs, ya que encuentra errores directamente relacionados con la funcionalidad de la aplicación.