Con StackHawk, los equipos de ingeniería pueden realizar pruebas de seguridad en aplicaciones JS y las API subyacentes para encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Con pruebas automatizadas en cada PR, puedes estar seguro de que tu aplicación es segura. Únete a Ryan Severns, cofundador de StackHawk, para obtener una breve descripción de las pruebas de seguridad de aplicaciones JS con StackHawk.
Pruebas de seguridad para aplicaciones JS
Video Summary and Transcription
Stackhawk es una herramienta de seguridad de aplicaciones que se centra en las pruebas de seguridad dinámicas de aplicaciones y API. Está construida sobre el proyecto de código abierto ZAP y diseñada para la automatización en CICD. Stackhawk proporciona un conjunto completo de herramientas para las pruebas de seguridad de aplicaciones y la corrección de errores, incluyendo la visualización de hallazgos, la recreación de solicitudes y la solución fácil de vulnerabilidades. Permite la clasificación de hallazgos e integración con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.
1. Introducción a Stackhawk
Stackhawk es una herramienta de seguridad de aplicaciones construida para encontrar, clasificar y solucionar errores de seguridad de aplicaciones. Se enfoca en pruebas de seguridad dinámicas de aplicaciones y APIs, buscando vulnerabilidades explotables de código abierto y vulnerabilidades introducidas por la aplicación. Stackhawk se basa en el proyecto de código abierto ZAP y está diseñado para la automatización en CICD. Te permite escanear tu aplicación utilizando un archivo de configuración YAML y un escáner Docker. Los escaneos se pueden ejecutar en cualquier lugar, incluyendo localmente o en un entorno de producción. Stackhawk es altamente eficiente, proporcionando resultados rápidamente, y te permite clasificar y solucionar cualquier hallazgo.
Hola, TestJS. Mi nombre es Ryan Severance. Soy uno de los fundadores de Stackhawk. Somos una herramienta de seguridad de aplicaciones construida para facilitar a los desarrolladores encontrar, clasificar, y solucionar errores de seguridad de aplicaciones.
Creamos esta empresa porque sabemos que el software se está enviando a producción más rápido que nunca, y las herramientas de seguridad de aplicaciones deben poder mantenerse al día con el ritmo del desarrollo de software moderno. Así que déjame contarte un poco sobre Stackhawk.
Stackhawk es una herramienta de pruebas de seguridad de aplicaciones y APIs dinámicas. Por lo tanto, realizamos pruebas activas de seguridad en tu aplicación en ejecución. Es posible que estés familiarizado con herramientas que buscan vulnerabilidades de código abierto. Vulnerabilidades en las bibliotecas de código abierto que estás utilizando. Somos grandes fanáticos de esas herramientas. Eso es un poco diferente a lo que hacemos nosotros. Nos enfocamos en la aplicación. Por lo tanto, encontramos cualquier vulnerabilidad de código abierto explotable, y también encontramos cualquier cosa que tú o tu equipo hayan agregado a la aplicación que esté creando una vulnerabilidad. Estamos construidos sobre el proyecto de código abierto ZAP. Y en última instancia, estamos construidos para la automatización en CICD.
Así que creemos firmemente en ejecutar una prueba de seguridad en el flujo de trabajo, encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Y hacemos que eso sea realmente sencillo. Así es como funciona. Comienzas escaneando tu aplicación. Tienes un archivo de configuración basado en YAML y un escáner basado en Docker. Te permite ejecutar los escaneos en cualquier lugar. Puedes ejecutarlo localmente, ejecutarlo en CICD, puedes apuntarlo a tu entorno de producción y ejecutar el escaneo. Y rastrea la aplicación. Importamos la especificación OpenAPI, el punto de introspección de GraphQL. En última instancia, estamos construidos para escanear aplicaciones modernas y abarcar tanto la aplicación como las APIs subyacentes. Y en última instancia, estamos muy enfocados en la performance de las pruebas de aplicaciones técnicas. Entonces, si has utilizado alguna de estas herramientas en el pasado, algunas de las herramientas heredadas, los tiempos de escaneo se miden en horas, no en minutos. Y creemos firmemente en ser muy eficientes. Luego, una vez que hayas ejecutado un escaneo, revisa cualquier hallazgo y clasifica y soluciona esos hallazgos.
2. Funciones y Integración de Stackhawk
Stackhawk ofrece un conjunto completo de herramientas para pruebas de seguridad de aplicaciones y corrección de errores. Ofrece funciones como ver hallazgos, recrear solicitudes y solucionar vulnerabilidades fácilmente. Stackhawk también permite clasificar los hallazgos e integrarse con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.
Cuando revisas un hallazgo, muestra la ruta en la que se encontró, puedes ver la solicitud que se envió a la aplicación y la respuesta que se obtuvo, lo que proporciona evidencia del hallazgo.
Tenemos un botón para crear un comando curl y recrear esa misma solicitud. Esto facilita mucho el proceso de revisar el código, identificar dónde puede haber un manejo incorrecto y acorta drásticamente el tiempo para solucionar los problemas.
Muchos de los hallazgos de seguridad en las aplicaciones no son tan difíciles de solucionar. Solo se trata de saber dónde están y tener las herramientas necesarias para solucionarlos. También tenemos documentación de corrección vinculada en la aplicación. Lo hacemos muy fácil si hay un hallazgo para solucionarlo y volver a trabajar en las características en las que estás trabajando.
También tenemos una función de clasificación para que puedas marcar un hallazgo como aceptado con riesgo, echar un vistazo, simplemente no es algo que valga la pena solucionar. O tal vez lo hayas enviado a Jira, se ha priorizado con tu otro trabajo de ingeniería. El escáner seguirá encontrándolo, pero no romperá la compilación, no será ruidoso. Te permite gestionar cómo quieres lidiar con los hallazgos de seguridad que aparecen.
Y en última instancia, creemos firmemente en facilitar la integración con el resto de tu pila de ingeniería. Por lo tanto, tenemos muchas integraciones y lo hacemos simple.
Así que eso es Stackhawk en pocas palabras, nos encantaría que nos visitaras. Puedes registrarte para obtener una cuenta gratuita en stackhawk.com, puedes consultar nuestra documentación para obtener un poco más de información, eso es docs.stackhawk.com. Y no dudes en contactarnos si tienes alguna pregunta. ¡Muchas gracias!
Check out more articles and videos
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
Workshops on related topic
In this three-hour workshop we’ll introduce React Testing Library along with a mental model for how to think about designing your component tests. This mental model will help you see how to test each bit of logic, whether or not to mock dependencies, and will help improve the design of your components. You’ll walk away with the tools, techniques, and principles you need to implement low-cost, high-value component tests.
Table of contents- The different kinds of React application tests, and where component tests fit in- A mental model for thinking about the inputs and outputs of the components you test- Options for selecting DOM elements to verify and interact with them- The value of mocks and why they shouldn’t be avoided- The challenges with asynchrony in RTL tests and how to handle them
Prerequisites- Familiarity with building applications with React- Basic experience writing automated tests with Jest or another unit testing framework- You do not need any experience with React Testing Library- Machine setup: Node LTS, Yarn
Tests rely on many conditions and are considered to be slow and flaky. On the other hand - end-to-end tests can give the greatest confidence that your app is working. And if done right - can become an amazing tool for boosting developer velocity.
Detox is a gray-box end-to-end testing framework for mobile apps. Developed by Wix to solve the problem of slowness and flakiness and used by React Native itself as its E2E testing tool.
Join me on this workshop to learn how to make your mobile end-to-end tests with Detox rock.
Prerequisites- iOS/Android: MacOS Catalina or newer- Android only: Linux- Install before the workshop
1. Welcome to Postman- Explaining the Postman User Interface (UI)2. Workspace and Collections Collaboration- Understanding Workspaces and their role in collaboration- Exploring the concept of Collections for organizing and executing API requests3. Introduction to API Testing- Covering the basics of API testing and its significance4. Variable Management- Managing environment, global, and collection variables- Utilizing scripting snippets for dynamic data5. Building Testing Workflows- Creating effective testing workflows for comprehensive testing- Utilizing the Collection Runner for test execution- Introduction to Postbot for automated testing6. Advanced Testing- Contract Testing for ensuring API contracts- Using Mock Servers for effective testing- Maximizing productivity with Collection/Workspace templates- Integration Testing and Regression Testing strategies7. Automation with Postman- Leveraging the Postman CLI for automation- Scheduled Runs for regular testing- Integrating Postman into CI/CD pipelines8. Performance Testing- Demonstrating performance testing capabilities (showing the desktop client)- Synchronizing tests with VS Code for streamlined development9. Exploring Advanced Features - Working with Multiple Protocols: GraphQL, gRPC, and more
Join us for this workshop to unlock the full potential of Postman for API testing, streamline your testing processes, and enhance the quality and reliability of your software. Whether you're a beginner or an experienced tester, this workshop will equip you with the skills needed to excel in API testing with Postman.
We will cover writing tests, covering every application feature, structuring tests, intercepting network requests, and setting up the backend data.
Anyone who knows JavaScript programming language and has NPM installed would be able to follow along.