Automatizar Pruebas de Seguridad de Aplicaciones Web usando GitHub Actions (del equipo de StackHawk)

Rate this content
Bookmark

El desarrollo de software ha cambiado: Despliegues frecuentes, APIs, GraphQL, Arquitectura en la Nube y Automatización CI/CD son la norma. Entonces, ¿por qué las pruebas de seguridad siguen siendo iguales que hace una década?


Los equipos líderes se están dando cuenta de que las pruebas de penetración periódicas y las auditorías de seguridad no son suficientes cuando el código se envía a diario. En su lugar, estos equipos están utilizando herramientas centradas en los desarrolladores para ejecutar pruebas de seguridad automatizadas en un pipeline de CI/CD. Únete a Zachary Conger mientras te guía en cómo automatizar las pruebas de seguridad de aplicaciones JS utilizando GitHub Actions.

This workshop has been presented at TestJS Summit 2022, check out the latest edition of this JavaScript Conference.

FAQ

Necesitas un navegador web, acceso a GitHub, una cuenta de GitHub y unirse a nuestro canal de Discord específico para el taller.

Debes hacer clic en el enlace proporcionado durante la sesión, unirte al servidor de Discord y luego dar un pulgar arriba en el canal general y en el canal de pruebas de seguridad de aplicaciones web de octubre de 2022.

Utilizaremos GitHub Actions para hacer un fork de una aplicación de ejemplo, crear archivos necesarios y someter la aplicación a pruebas de seguridad mediante una rutina de construcción y pruebas automatizada.

StackHawk es una herramienta de escaneo de seguridad dinámica (DAST) que se ejecuta contra tu aplicación en ejecución para buscar vulnerabilidades. En el taller, usaremos StackHawk al final del proceso para escanear la aplicación construida y identificar posibles vulnerabilidades.

Implementaremos pruebas de seguridad que incluyen análisis de composición de software con Dependabot, pruebas de seguridad de aplicación estática (SAST) con CodeQL, y pruebas de seguridad de aplicación dinámica (DAST) con StackHawk.

No te preocupes si no puedes revisar los repositorios directamente; todo lo que necesitas está en el readme del repositorio de GitHub de la masterclass, donde podrás seguir los enlaces y las instrucciones proporcionadas.

Dependabot es una herramienta de GitHub que escanea tus dependencias para buscar vulnerabilidades y emitir automáticamente solicitudes de extracción para correcciones. Durante el taller, habilitaremos y configuraremos Dependabot para nuestro repositorio de GitHub.

Zachary Conger
Zachary Conger
87 min
27 Oct, 2022

Comments

Sign in or register to post your comment.
Video Summary and Transcription
Bienvenido al masterclass de Test.js y DevSecOps, donde automatizamos las pruebas de seguridad de aplicaciones web utilizando Java, React y la utilidad DAST de StackHawk. Cubrimos la configuración de GitHub Actions, el escaneo de dependencias con Dependabot, el uso de CodeQL para análisis estático y la ejecución del escáner DaaST de StackHawk para pruebas de vulnerabilidad en tiempo de ejecución. Los masterclass proporcionan instrucciones paso a paso para configurar flujos de trabajo, configurar herramientas de pruebas de seguridad y revisar los resultados del escaneo para identificar y solucionar vulnerabilidades en el código base.

1. Introducción al taller de Test.js

Short description:

Bienvenido al taller de Test.js. Automatizaremos las pruebas de seguridad de aplicaciones web utilizando Java y React. Haz un fork de un repositorio, envía preguntas y somete la aplicación a rutinas de construcción y pruebas automatizadas utilizando las acciones de GitHub. Únete a nuestro servidor de Discord y al canal de pruebas de seguridad de aplicaciones web de octubre de 2022. Da un pulgar arriba en el canal general y en el canal de pruebas de seguridad de aplicaciones web para participar.

Bienvenido al taller de Test.js. Invitados y asistentes, es genial ver a todos aquí. Quería darles la bienvenida a nuestro pequeño espectáculo, lo que haremos hoy es. Automatizar las pruebas de seguridad de aplicaciones web utilizando Java y React. Es un navegador web.

Es útil tener Discord, la aplicación de Discord, vamos a chatear mucho en Discord, y les contaré sobre eso en un minuto. Pero básicamente lo que vamos a hacer es hacer un fork de un repositorio para una aplicación de ejemplo, una aplicación de node.js. Y lo que haremos en este taller es pedirles que envíen preguntas aplicación de ejemplo, una aplicación de node.js. Y someteremos eso a una rutina de construcción y pruebas automatizada utilizando las acciones de GitHub, que es el sistema de CI/CD de GitHub integrado en GitHub, y es gratuito para su uso por cualquier persona hasta, como, 2000 minutos al mes, algo así.

Así que construiremos esa aplicación, y luego la someteremos a una serie de pruebas, una variedad de diferentes pruebas de seguridad. Y nuevamente, lo único que realmente necesitas es un navegador web, porque todo lo que vamos a hacer es a través de la interfaz web de GitHub para que podamos crear archivos, hacer un fork de un repositorio, crear archivos, los archivos que necesitamos, ejecutar las pruebas que necesitamos utilizando las acciones de GitHub y demás. Lo que realmente necesitas para unirte a nosotros es unirte a nuestro Discord. Y unirte al canal de pruebas de seguridad de aplicaciones web de octubre de 2022 en Discord. Entonces, voy a publicar ese enlace aquí para todos. Así que, si puedes ir al primer enlace que proporciono, el discord.gg.xnmb.. Haz clic en ese enlace y deberías unirte a nuestro servidor de Discord. Y luego, en el canal general, simplemente da un pulgar arriba a nuestro mensaje de bienvenida. Eso te permitirá ver el resto de los canales. Luego, una vez que estés allí, únete a ese canal de pruebas de seguridad de aplicaciones web de octubre de 2022. Y luego, cuando estés en ese canal de pruebas de seguridad de aplicaciones web, danos un pulgar arriba también, para que sepamos que estás ahí.

2. Comenzando con la Masterclass

Short description:

Ya tenemos una pregunta. Parece que no puedo revisar los repositorios. No te preocupes por eso. Solo puedes ver el repositorio a través de nuestro sitio web. Cuando llegues al repositorio de GitHub de esta masterclass, lo único que realmente necesitas es este readme, y puedes hacer clic en los enlaces para acceder a la información allí. Lo primero que haremos al crear la aplicación es hacer un fork de otro repositorio. Parece que hay personas uniéndose al servidor de Discord. Aquí está el libro de trabajo o guía para la masterclass que seguiremos. Si algo de esto no funciona, aún deberías poder seguir el curso. Nuevamente, lo único que necesitas es un navegador web y acceso a GitHub, es decir, una cuenta de GitHub. Siéntete libre de hacer preguntas y ayudarse mutuamente en el chat de Discord. Comenzaré con una diapositiva.

Ya tenemos una pregunta. Esto es genial. Parece que no puedo revisar los repositorios. No te preocupes por eso. Solo puedes ver el repositorio a través de nuestro sitio web. Solo estamos siguiendo el readme que está allí. Te mostraré cómo se ve eso. Cuando llegues al repositorio de GitHub de esta masterclass de GitHub actions, lo único que realmente necesitas de allí es este readme, y puedes hacer clic en los enlaces para acceder a la información allí.

Lo primero que haremos al crear la aplicación es hacer un fork de otro repositorio. Muy bien. Parece que hay personas uniéndose al servidor de Discord. Un enlace de GitHub en la ventana del panel de discusión. Creo que nos referimos a esta ventana. Así que déjame darte este enlace. Aquí está el libro de trabajo o guía para la masterclass que seguiremos. Si algo de esto no funciona, aún deberías poder seguir el curso. Nuevamente, lo único que necesitas es un navegador web y acceso a GitHub, es decir, una cuenta de GitHub. Voy a comenzar. Siéntete libre de hacer preguntas y ayudarse mutuamente en el chat de Discord. Y Mimi, si puedes ayudar a las personas que tengan problemas, eso sería genial. Voy a comenzar con una diapositiva. Gracias.

QnA

Watch more workshops on topic

Domina los Patrones de JavaScript
JSNation 2024JSNation 2024
145 min
Domina los Patrones de JavaScript
Top Content
Featured Workshop
Adrian Hajdin
Adrian Hajdin
Durante esta masterclass, los participantes revisarán los patrones esenciales de JavaScript que todo desarrollador debería conocer. A través de ejercicios prácticos, ejemplos del mundo real y discusiones interactivas, los asistentes profundizarán su comprensión de las mejores prácticas para organizar el código, resolver desafíos comunes y diseñar arquitecturas escalables. Al final de la masterclass, los participantes ganarán una nueva confianza en su capacidad para escribir código JavaScript de alta calidad que resista el paso del tiempo.
Puntos Cubiertos:
1. Introducción a los Patrones de JavaScript2. Patrones Fundamentales3. Patrones de Creación de Objetos4. Patrones de Comportamiento5. Patrones Arquitectónicos6. Ejercicios Prácticos y Estudios de Caso
Cómo Ayudará a los Desarrolladores:
- Obtener una comprensión profunda de los patrones de JavaScript y sus aplicaciones en escenarios del mundo real- Aprender las mejores prácticas para organizar el código, resolver desafíos comunes y diseñar arquitecturas escalables- Mejorar las habilidades de resolución de problemas y la legibilidad del código- Mejorar la colaboración y la comunicación dentro de los equipos de desarrollo- Acelerar el crecimiento de la carrera y las oportunidades de avance en la industria del software
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web
React Summit 2024React Summit 2024
92 min
Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web
Featured Workshop
Vivek Nayyar
Vivek Nayyar
Sumérgete en el mundo de la IA con nuestro masterclass interactivo diseñado específicamente para desarrolladores web. "Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web" ofrece una oportunidad única para cerrar la brecha entre la IA y el desarrollo web. A pesar de la prominencia de Python en el desarrollo de IA, el vasto potencial de JavaScript sigue siendo en gran medida inexplorado. Este masterclass tiene como objetivo cambiar eso.A lo largo de esta sesión práctica, los participantes aprenderán cómo aprovechar LangChain, una herramienta diseñada para hacer que los modelos de lenguaje grandes sean más accesibles y útiles, para construir agentes de IA dinámicos directamente dentro de entornos JavaScript. Este enfoque abre nuevas posibilidades para mejorar las aplicaciones web con funciones inteligentes, desde el soporte al cliente automatizado hasta la generación de contenido y más.Comenzaremos con los conceptos básicos de LangChain y los modelos de IA, asegurando una base sólida incluso para aquellos nuevos en IA. A partir de ahí, nos sumergiremos en ejercicios prácticos que demuestran cómo integrar estas tecnologías en proyectos reales de JavaScript. Los participantes trabajarán en ejemplos, enfrentando y superando los desafíos de hacer que la IA funcione sin problemas en la web.Este masterclass es más que una experiencia de aprendizaje; es una oportunidad de estar a la vanguardia de un campo emergente. Al final, los asistentes no solo habrán adquirido habilidades valiosas, sino que también habrán creado funciones mejoradas con IA que podrán llevar a sus proyectos o lugares de trabajo.Ya seas un desarrollador web experimentado curioso acerca de la IA o estés buscando expandir tus habilidades en áreas nuevas y emocionantes, "Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web" es tu puerta de entrada al futuro del desarrollo web. Únete a nosotros para desbloquear el potencial de la IA en tus proyectos web, haciéndolos más inteligentes, interactivos y atractivos para los usuarios.
Uso de CodeMirror para construir un editor de JavaScript con Linting y AutoCompletado
React Day Berlin 2022React Day Berlin 2022
86 min
Uso de CodeMirror para construir un editor de JavaScript con Linting y AutoCompletado
Top Content
WorkshopFree
Hussien Khayoon
Kahvi Patel
2 authors
Usar una biblioteca puede parecer fácil a primera vista, pero ¿cómo eliges la biblioteca correcta? ¿Cómo actualizas una existente? ¿Y cómo te abres camino a través de la documentación para encontrar lo que quieres?
En esta masterclass, discutiremos todos estos puntos finos mientras pasamos por un ejemplo general de construcción de un editor de código usando CodeMirror en React. Todo mientras compartimos algunas de las sutilezas que nuestro equipo aprendió sobre el uso de esta biblioteca y algunos problemas que encontramos.
Masterclass de Pruebas de API con Postman
TestJS Summit 2023TestJS Summit 2023
48 min
Masterclass de Pruebas de API con Postman
Top Content
WorkshopFree
Pooja Mistry
Pooja Mistry
En el panorama siempre en evolución del desarrollo de software, garantizar la fiabilidad y funcionalidad de las API se ha vuelto primordial. "Pruebas de API con Postman" es una masterclass completa diseñada para equipar a los participantes con los conocimientos y habilidades necesarios para sobresalir en las pruebas de API utilizando Postman, una herramienta poderosa ampliamente adoptada por profesionales en el campo. Esta masterclass profundiza en los fundamentos de las pruebas de API, avanza a técnicas de prueba avanzadas y explora la automatización, las pruebas de rendimiento y el soporte multiprotocolo, proporcionando a los asistentes una comprensión holística de las pruebas de API con Postman.
Únete a nosotros para esta masterclass para desbloquear todo el potencial de Postman para las pruebas de API, agilizar tus procesos de prueba y mejorar la calidad y fiabilidad de tu software. Ya seas un principiante o un probador experimentado, esta masterclass te equipará con las habilidades necesarias para sobresalir en las pruebas de API con Postman.
Testing Web Applications Using Cypress
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Testing Web Applications Using Cypress
Top Content
WorkshopFree
Gleb Bahmutov
Gleb Bahmutov
Esta masterclass te enseñará los conceptos básicos para escribir pruebas end-to-end útiles utilizando Cypress Test Runner.
Cubriremos la escritura de pruebas, cubriendo cada característica de la aplicación, estructurando pruebas, interceptando solicitudes de red y configurando los datos del backend.
Cualquiera que conozca el lenguaje de programación JavaScript y tenga NPM instalado podrá seguir adelante.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Escalando con Remix y Micro Frontends
Remix Conf Europe 2022Remix Conf Europe 2022
23 min
Escalando con Remix y Micro Frontends
Top Content
This talk discusses the usage of Microfrontends in Remix and introduces the Tiny Frontend library. Kazoo, a used car buying platform, follows a domain-driven design approach and encountered issues with granular slicing. Tiny Frontend aims to solve the slicing problem and promotes type safety and compatibility of shared dependencies. The speaker demonstrates how Tiny Frontend works with server-side rendering and how Remix can consume and update components without redeploying the app. The talk also explores the usage of micro frontends and the future support for Webpack Module Federation in Remix.
Componentes de Full Stack
Remix Conf Europe 2022Remix Conf Europe 2022
37 min
Componentes de Full Stack
Top Content
RemixConf EU discussed full stack components and their benefits, such as marrying the backend and UI in the same file. The talk demonstrated the implementation of a combo box with search functionality using Remix and the Downshift library. It also highlighted the ease of creating resource routes in Remix and the importance of code organization and maintainability in full stack components. The speaker expressed gratitude towards the audience and discussed the future of Remix, including its acquisition by Shopify and the potential for collaboration with Hydrogen.
Depuración de JS
React Summit 2023React Summit 2023
24 min
Depuración de JS
Top Content
Debugging JavaScript is a crucial skill that is often overlooked in the industry. It is important to understand the problem, reproduce the issue, and identify the root cause. Having a variety of debugging tools and techniques, such as console methods and graphical debuggers, is beneficial. Replay is a time-traveling debugger for JavaScript that allows users to record and inspect bugs. It works with Redux, plain React, and even minified code with the help of source maps.
Haciendo JavaScript en WebAssembly Rápido
JSNation Live 2021JSNation Live 2021
29 min
Haciendo JavaScript en WebAssembly Rápido
Top Content
WebAssembly enables optimizing JavaScript performance for different environments by deploying the JavaScript engine as a portable WebAssembly module. By making JavaScript on WebAssembly fast, instances can be created for each request, reducing latency and security risks. Initialization and runtime phases can be improved with tools like Wiser and snapshotting, resulting in faster startup times. Optimizing JavaScript performance in WebAssembly can be achieved through techniques like ahead-of-time compilation and inline caching. WebAssembly usage is growing outside the web, offering benefits like isolation and portability. Build sizes and snapshotting in WebAssembly depend on the application, and more information can be found on the Mozilla Hacks website and Bike Reliance site.
Automatizando Todo el Código y las Pruebas con GitHub Actions
React Advanced 2021React Advanced 2021
19 min
Automatizando Todo el Código y las Pruebas con GitHub Actions
Top Content
We will learn how to automate code and testing with GitHub Actions, including linting, formatting, testing, and deployments. Automating deployments with scripts and Git hooks can help avoid mistakes. Popular CI-CD frameworks like Jenkins offer powerful orchestration but can be challenging to work with. GitHub Actions are flexible and approachable, allowing for environment setup, testing, deployment, and custom actions. A custom AppleTools Eyes GitHub action simplifies visual testing. Other examples include automating content reminders for sharing old content and tutorials.
¿Webpack en 5 años?
JSNation 2022JSNation 2022
26 min
¿Webpack en 5 años?
Top Content
In the last 10 years, Webpack has shaped the way we develop web applications by introducing code splitting, co-locating style sheets and assets with JavaScript modules, and enabling bundling for server-side processing. Webpack's flexibility and large plugin system have also contributed to innovation in the ecosystem. The initial configuration for Webpack can be overwhelming, but it is necessary due to the complexity of modern web applications. In larger scale applications, there are performance problems in Webpack due to issues with garbage collection, leveraging multiple CPUs, and architectural limitations. Fixing problems in Webpack has trade-offs, but a rewrite could optimize architecture and fix performance issues.