Genial. Espero que todos hayan aprendido mucho de esto, y me gustaría mostrar una cosa más, ya que vamos bien de tiempo, y eso es la integración de CodeQL. También quiero abrirlo a preguntas, en este punto, si alguien tiene preguntas sobre cómo funciona cualquiera de estas cosas, podemos retroceder y hablar de todo eso.
Pero por ahora, me gustaría intentar configurar la integración de CodeQL para que podamos ver los resultados de SAST. Permítanme contarles un poco sobre esta integración antes de ir allí. Lo que hemos hecho en StackHawk, y esto es realmente bastante único en nuestra utilidad, es que hemos creado un par de integraciones de SAST. Mencioné que hay compensaciones con todos estos enfoques diferentes de las pruebas.
Con DAS, hemos recopilado los recibos de cada vulnerabilidad que encontramos, por lo que sabes que es una vulnerabilidad real en tu aplicación en tiempo de ejecución, y eso significa que realmente debes priorizar solucionar eso. Pero la evidencia que mostramos es un poco limitada. Podemos mostrarte los datos de la solicitud que enviamos y los datos de la respuesta que recibimos, y podemos ayudarte a validar eso, pero sería realmente útil si pudieras echar un vistazo al código y comprender dónde está el problema en la base de código, y realmente no podemos hacer eso desde este enfoque de afuera hacia adentro de las pruebas.
Por el contrario, SAST tiene el conjunto opuesto de compensaciones. Entonces, SAST puede analizar tu código y puede encontrar patrones vulnerables y puede señalarte las líneas y archivos exactos donde podría estar el problema, pero es menos preciso. En realidad, no puede decirte si es una vulnerabilidad real que se expresa en la aplicación en tiempo de ejecución. Por lo tanto, la naturaleza de esta integración es tratar de mostrar ambas partes de la información al mismo tiempo. Así que puedes priorizarlo en función de los resultados de DAS, pero obtener ese poco de evidencia adicional que realmente ayuda a los desarrolladores a encontrar la línea de código exacta que necesitan revisar para solucionar el problema. Así que obtenemos esa precisión de DAST más una evidencia detallada de SAST.
Entonces, veamos si podemos configurarlo. Vuelve a la aplicación de StackHawk y ve a la sección de casillas de verificación, nuestra sección de integración, y ve a la integración de GitHub y haz clic en eso. Luego, simplemente presiona el botón de habilitar GitHub. Y apunta a tu organización donde deseas instalar la aplicación de GitHub. Y luego puedes activarlo para todos los repositorios si quieres, o puedes limitarlo al repositorio en el que estamos trabajando hoy, que es lo que voy a hacer. Así que encontraré, se llama vuln NodeExpress y lo conectaré allí. Y, con eso, nos dará, dará a la aplicación de StackHawk acceso al código y los metadatos y los eventos de seguridad, y dará acceso de lectura y escritura a los estados de confirmación y las solicitudes de extracción. Entonces, si avanzas más con esto, puedes configurar la integración que permite que sea una prueba oficial en las solicitudes de extracción y también que permite publicar los resultados del escaneo en los mensajes de las solicitudes de extracción o en los comentarios de las solicitudes de extracción. No vamos a hacer eso hoy. Solo vamos a hacer la integración de CodeQL. Así que haz clic en instalar. Y usaré mi contraseña. Bien, una vez que lo hayas instalado, tarda un poco en sincronizarse, pero luego esto es lo que deberías ver. Puedes administrar la conexión, y eso te permitirá abrir el diafragma sobre qué otros repositorios quieres que se instale. Ahora que tienes esa conexión configurada, puedes agregar un repositorio conectado. Y lo que haremos es conectar el repositorio de GitHub de Vuln node express a nuestro repositorio de Vuln node express en este lado. Y, con suerte, he elegido el correcto porque he creado dos con el mismo nombre. Bien, veremos cómo va esto. Pero deberías ver algo similar, así que conecta tu repositorio a tu aplicación en el lado de StackHawk y haz clic en finalizar. Y ahora, para ver esto en acción, debemos realizar otro escaneo. Lo que puedes hacer es ir a tu última compilación y ejecución de prueba y hacer clic en volver a ejecutar todos los trabajos desde GitHub. Entonces, bajo acciones, ve a tus trabajos de compilación y prueba, haz clic en volver a ejecutar todos los trabajos, inicia ese escaneo. Así que tendremos que esperar un par de minutos más. Mientras esperamos, una persona en el chat dijo que su autenticador no está funcionando. Oh, ¿para GitHub, cuando te pide que uses el autenticador? Parece que sí, siéntete libre de proporcionar más aclaraciones en Discord si tienes un problema más específico. Sí, a lo que se refiere en ese caso es que debes tener configurada la autenticación de múltiples factores o autenticación de dos factores para GitHub. Y por lo general, te dará un par de opciones diferentes, es posible que puedas usar tu contraseña de GitHub nuevamente si sigues ese flujo una vez más. Pero el autenticador, en mi teléfono, uso el LastPass Authenticator. Uno muy popular es Google Authenticator. Pero es ese token de una sola vez y está buscando... Quiere que lo sigas y espero que lo hayas configurado en tu teléfono o algo así y seleccionas tu cuenta de GitHub y debería darte un código de seis dígitos o algo así que puedes ingresar allí. Tienen otra integración, si tienes la aplicación de GitHub en tu teléfono, entonces otra opción para la autenticación de múltiples factores es ingresar a tu aplicación de GitHub y leer el código. Te darán un pequeño código que puedes escribir desde la interfaz web también. Oh, alguien no entendió cómo reiniciar la acción de compilación y prueba.
Comments