Pruebas de seguridad para aplicaciones respaldadas por GraphQL

Rate this content
Bookmark
5 min
24 Jun, 2021

Video Summary and Transcription

StackHawk es una herramienta automatizada de pruebas de seguridad de aplicaciones y APIs que se integra con CI/CD. Utiliza el escáner ZAP y admite varios tipos de aplicaciones y APIs. StackHawk proporciona información detallada sobre vulnerabilidades y funciones de triaje para gestionar problemas de bajo riesgo. El objetivo de la herramienta es integrarse sin problemas en los flujos de trabajo de ingeniería y hacer que la seguridad sea accesible para los equipos.

Available in English

1. Overview of StackHawk

Short description:

StackHawk proporciona pruebas automatizadas de seguridad de aplicaciones y API, lo que facilita encontrar y solucionar vulnerabilidades. Se integra con CI/CD, ejecutando escaneos en solicitudes de extracción o confirmaciones. La herramienta utiliza el escáner ZAP y admite varios tipos de aplicaciones y API. Cuando se encuentra una vulnerabilidad, StackHawk proporciona información detallada y permite una fácil depuración y solución. También ofrece funciones de triaje para gestionar problemas de bajo riesgo. StackHawk tiene como objetivo integrarse sin problemas en los flujos de trabajo de ingeniería y hacer que la seguridad sea accesible para los equipos.

Hola a todos, Node Congress. Soy Ryan Severance, uno de los fundadores de StackHawk. En StackHawk, es fácil para los desarrolladores encontrar, triar y solucionar errores de seguridad de aplicaciones. Hoy les contaré un poco más sobre lo que hacemos. Entonces, StackHawk en pocas palabras, hacemos pruebas de seguridad de aplicaciones y API. Estamos diseñados para la automatización en CI/CD. En última instancia, facilitamos mucho encontrar y solucionar cualquier vulnerabilidad de seguridad de aplicaciones. Supongamos que están desarrollando una nueva función y su equipo está trabajando en ella. Y alguien introduce un nuevo punto final que tal vez tenga una vulnerabilidad de inyección SQL, exponiendo datos sensibles delbackend que un atacante malintencionado podría acceder. Tradicionalmente, esto podría no descubrirse hasta semanas o meses después, tal vez en una prueba de penetración o una revisión del equipo de seguridad. Con StackHawk, cuando abres la solicitud de extracción o incluso en la confirmación, según cómo lo tengas configurado en CI/CD, se ejecutará un escaneo. Es una prueba contra la aplicación y busca cualquier tipo de estas vulnerabilidades. Te notificaría que se ha encontrado una vulnerabilidad de inyección SQL. Y luego le proporciona al equipo toda la información para que puedan solucionarlo. Así que encuentras errores temprano y es muy fácil solucionarlos. Permíteme contarte un poco cómo funciona detrás de escena. Estamos construidos sobre un escáner de código abierto. Se llama ZAP, Z-A proxy.org. Es un estándar de la industria en términos de una de las mejores herramientas de pruebas de seguridad de aplicaciones dinámicas. Lo hacemos muy fácil de configurar y ejecutar en cualquier lugar, lo hacemos simple de automatizar. Con StackHawk, puedes escanear aplicaciones modernas, aplicaciones de servidor HTML, aplicaciones de una sola página, API REST, GraphQL, y en última instancia, es simplemente una prueba automatizada de seguridad de aplicaciones muy rápida. Entonces, supongamos que se ejecuta la prueba, tal vez te notifiquen de una compilación fallida que se ha introducido una nueva vulnerabilidad. Puedes ingresar a la aplicación web de StackHawk y tendrás la solicitud que se envió a la aplicación, la respuesta que se devolvió con un resaltado de la evidencia que muestra que es una vulnerabilidad. Hay un botón de validación en el que puedes hacer clic para recrear esa misma solicitud y recorrer el código en modo de debug para averiguar dónde estás manejando incorrectamente la información y, en última instancia, llegar a una solución rápidamente. También tenemos descripciones generales de cuál es el error, documentación sobre cómo solucionarlo. También hay funciones de triaje. Entonces, supongamos que te notifican algo, pero es de bajo riesgo y no debería bloquear el envío a producción. Puedes marcarlo como aceptado o tal vez ponerlo en tu lista de tareas de JIRA, y el escáner respeta eso. Entonces, la próxima vez que se ejecute, solo buscará vulnerabilidades recién introducidas. Stackhawk se integra fácilmente con el resto de tu pila de ingeniería. Creemos firmemente en integrarnos en los flujos de trabajo de desarrollo modernos y hacer que la seguridad sea fácil de abordar para los equipos de ingeniería. Esa es una descripción general rápida de Stackhawk. Nos encantaría que nos visiten. Pasen por el sitio web, regístrense para obtener una cuenta gratuita y asegúrense de ver el sorteo que tenemos en marcha para Node Congress. Todos recibirán una camiseta y también participarán en el sorteo de una Nintendo Switch. Eso es todo. Muchas gracias. Adiós. tú

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Node Congress 2022Node Congress 2022
26 min
It's a Jungle Out There: What's Really Going on Inside Your Node_Modules Folder
Top Content
Do you know what’s really going on in your node_modules folder? Software supply chain attacks have exploded over the past 12 months and they’re only accelerating in 2022 and beyond. We’ll dive into examples of recent supply chain attacks and what concrete steps you can take to protect your team from this emerging threat.
You can check the slides for Feross' talk here.
Node Congress 2022Node Congress 2022
34 min
Out of the Box Node.js Diagnostics
In the early years of Node.js, diagnostics and debugging were considerable pain points. Modern versions of Node have improved considerably in these areas. Features like async stack traces, heap snapshots, and CPU profiling no longer require third party modules or modifications to application source code. This talk explores the various diagnostic features that have recently been built into Node.
You can check the slides for Colin's talk here. 
JSNation 2023JSNation 2023
22 min
ESM Loaders: Enhancing Module Loading in Node.js
Native ESM support for Node.js was a chance for the Node.js project to release official support for enhancing the module loading experience, to enable use cases such as on the fly transpilation, module stubbing, support for loading modules from HTTP, and monitoring.
While CommonJS has support for all this, it was never officially supported and was done by hacking into the Node.js runtime code. ESM has fixed all this. We will look at the architecture of ESM loading in Node.js, and discuss the loader API that supports enhancing it. We will also look into advanced features such as loader chaining and off thread execution.
JSNation Live 2021JSNation Live 2021
19 min
Multithreaded Logging with Pino
Top Content
Almost every developer thinks that adding one more log line would not decrease the performance of their server... until logging becomes the biggest bottleneck for their systems! We created one of the fastest JSON loggers for Node.js: pino. One of our key decisions was to remove all "transport" to another process (or infrastructure): it reduced both CPU and memory consumption, removing any bottleneck from logging. However, this created friction and lowered the developer experience of using Pino and in-process transports is the most asked feature our user.In the upcoming version 7, we will solve this problem and increase throughput at the same time: we are introducing pino.transport() to start a worker thread that you can use to transfer your logs safely to other destinations, without sacrificing neither performance nor the developer experience.

Workshops on related topic

TestJS Summit 2023TestJS Summit 2023
48 min
API Testing with Postman Workshop
WorkshopFree
In the ever-evolving landscape of software development, ensuring the reliability and functionality of APIs has become paramount. "API Testing with Postman" is a comprehensive workshop designed to equip participants with the knowledge and skills needed to excel in API testing using Postman, a powerful tool widely adopted by professionals in the field. This workshop delves into the fundamentals of API testing, progresses to advanced testing techniques, and explores automation, performance testing, and multi-protocol support, providing attendees with a holistic understanding of API testing with Postman.
1. Welcome to Postman- Explaining the Postman User Interface (UI)2. Workspace and Collections Collaboration- Understanding Workspaces and their role in collaboration- Exploring the concept of Collections for organizing and executing API requests3. Introduction to API Testing- Covering the basics of API testing and its significance4. Variable Management- Managing environment, global, and collection variables- Utilizing scripting snippets for dynamic data5. Building Testing Workflows- Creating effective testing workflows for comprehensive testing- Utilizing the Collection Runner for test execution- Introduction to Postbot for automated testing6. Advanced Testing- Contract Testing for ensuring API contracts- Using Mock Servers for effective testing- Maximizing productivity with Collection/Workspace templates- Integration Testing and Regression Testing strategies7. Automation with Postman- Leveraging the Postman CLI for automation- Scheduled Runs for regular testing- Integrating Postman into CI/CD pipelines8. Performance Testing- Demonstrating performance testing capabilities (showing the desktop client)- Synchronizing tests with VS Code for streamlined development9. Exploring Advanced Features - Working with Multiple Protocols: GraphQL, gRPC, and more
Join us for this workshop to unlock the full potential of Postman for API testing, streamline your testing processes, and enhance the quality and reliability of your software. Whether you're a beginner or an experienced tester, this workshop will equip you with the skills needed to excel in API testing with Postman.
Node Congress 2023Node Congress 2023
109 min
Node.js Masterclass
Workshop
Have you ever struggled with designing and structuring your Node.js applications? Building applications that are well organised, testable and extendable is not always easy. It can often turn out to be a lot more complicated than you expect it to be. In this live event Matteo will show you how he builds Node.js applications from scratch. You’ll learn how he approaches application design, and the philosophies that he applies to create modular, maintainable and effective applications.

Level: intermediate
Node Congress 2023Node Congress 2023
63 min
0 to Auth in an Hour Using NodeJS SDK
WorkshopFree
Passwordless authentication may seem complex, but it is simple to add it to any app using the right tool.
We will enhance a full-stack JS application (Node.JS backend + React frontend) to authenticate users with OAuth (social login) and One Time Passwords (email), including:- User authentication - Managing user interactions, returning session / refresh JWTs- Session management and validation - Storing the session for subsequent client requests, validating / refreshing sessions
At the end of the workshop, we will also touch on another approach to code authentication using frontend Descope Flows (drag-and-drop workflows), while keeping only session validation in the backend. With this, we will also show how easy it is to enable biometrics and other passwordless authentication methods.
Table of contents- A quick intro to core authentication concepts- Coding- Why passwordless matters
Prerequisites- IDE for your choice- Node 18 or higher
JSNation 2023JSNation 2023
104 min
Build and Deploy a Backend With Fastify & Platformatic
WorkshopFree
Platformatic allows you to rapidly develop GraphQL and REST APIs with minimal effort. The best part is that it also allows you to unleash the full potential of Node.js and Fastify whenever you need to. You can fully customise a Platformatic application by writing your own additional features and plugins. In the workshop, we’ll cover both our Open Source modules and our Cloud offering:- Platformatic OSS (open-source software) — Tools and libraries for rapidly building robust applications with Node.js (https://oss.platformatic.dev/).- Platformatic Cloud (currently in beta) — Our hosting platform that includes features such as preview apps, built-in metrics and integration with your Git flow (https://platformatic.dev/). 
In this workshop you'll learn how to develop APIs with Fastify and deploy them to the Platformatic Cloud.
JSNation Live 2021JSNation Live 2021
156 min
Building a Hyper Fast Web Server with Deno
WorkshopFree
Deno 1.9 introduced a new web server API that takes advantage of Hyper, a fast and correct HTTP implementation for Rust. Using this API instead of the std/http implementation increases performance and provides support for HTTP2. In this workshop, learn how to create a web server utilizing Hyper under the hood and boost the performance for your web apps.
TestJS Summit 2023TestJS Summit 2023
89 min
Building out a meaningful test suite that's not all E2E
Workshop
We're all taught to follow the Testing Pyramid but the reality is that we build out the Testing Christmas Tree. In this workshop, David will talk you through how to break down projects and put the tests where they need to be. By the end of the workshop you will be able to update your projects so that anyone and everyone can start contributing and truly living up to "Quality is everyone job".
He will walk you through:- Component Testing- API Testing- Visual Regression Testing- A11Y testing
He will also talk you through how to get these all setup in your CI/CD pipeline so that you can get shorter and faster feedback loops.