Automatizar Pruebas de Seguridad de Aplicaciones Web usando GitHub Actions (del equipo de StackHawk)

Rate this content
Bookmark

El desarrollo de software ha cambiado: Despliegues frecuentes, APIs, GraphQL, Arquitectura en la Nube y Automatización CI/CD son la norma. Entonces, ¿por qué las pruebas de seguridad siguen siendo iguales que hace una década?


Los equipos líderes se están dando cuenta de que las pruebas de penetración periódicas y las auditorías de seguridad no son suficientes cuando el código se envía a diario. En su lugar, estos equipos están utilizando herramientas centradas en los desarrolladores para ejecutar pruebas de seguridad automatizadas en un pipeline de CI/CD. Únete a Zachary Conger mientras te guía en cómo automatizar las pruebas de seguridad de aplicaciones JS utilizando GitHub Actions.

This workshop has been presented at TestJS Summit 2022, check out the latest edition of this JavaScript Conference.

FAQ

Necesitas un navegador web, acceso a GitHub, una cuenta de GitHub y unirse a nuestro canal de Discord específico para el taller.

Debes hacer clic en el enlace proporcionado durante la sesión, unirte al servidor de Discord y luego dar un pulgar arriba en el canal general y en el canal de pruebas de seguridad de aplicaciones web de octubre de 2022.

Utilizaremos GitHub Actions para hacer un fork de una aplicación de ejemplo, crear archivos necesarios y someter la aplicación a pruebas de seguridad mediante una rutina de construcción y pruebas automatizada.

StackHawk es una herramienta de escaneo de seguridad dinámica (DAST) que se ejecuta contra tu aplicación en ejecución para buscar vulnerabilidades. En el taller, usaremos StackHawk al final del proceso para escanear la aplicación construida y identificar posibles vulnerabilidades.

Implementaremos pruebas de seguridad que incluyen análisis de composición de software con Dependabot, pruebas de seguridad de aplicación estática (SAST) con CodeQL, y pruebas de seguridad de aplicación dinámica (DAST) con StackHawk.

No te preocupes si no puedes revisar los repositorios directamente; todo lo que necesitas está en el readme del repositorio de GitHub de la masterclass, donde podrás seguir los enlaces y las instrucciones proporcionadas.

Dependabot es una herramienta de GitHub que escanea tus dependencias para buscar vulnerabilidades y emitir automáticamente solicitudes de extracción para correcciones. Durante el taller, habilitaremos y configuraremos Dependabot para nuestro repositorio de GitHub.

Zachary Conger
Zachary Conger
87 min
27 Oct, 2022

Comments

Sign in or register to post your comment.
Video Summary and Transcription
Bienvenido al masterclass de Test.js y DevSecOps, donde automatizamos las pruebas de seguridad de aplicaciones web utilizando Java, React y la utilidad DAST de StackHawk. Cubrimos la configuración de GitHub Actions, el escaneo de dependencias con Dependabot, el uso de CodeQL para análisis estático y la ejecución del escáner DaaST de StackHawk para pruebas de vulnerabilidad en tiempo de ejecución. Los masterclass proporcionan instrucciones paso a paso para configurar flujos de trabajo, configurar herramientas de pruebas de seguridad y revisar los resultados del escaneo para identificar y solucionar vulnerabilidades en el código base.

1. Introducción al taller de Test.js

Short description:

Bienvenido al taller de Test.js. Automatizaremos las pruebas de seguridad de aplicaciones web utilizando Java y React. Haz un fork de un repositorio, envía preguntas y somete la aplicación a rutinas de construcción y pruebas automatizadas utilizando las acciones de GitHub. Únete a nuestro servidor de Discord y al canal de pruebas de seguridad de aplicaciones web de octubre de 2022. Da un pulgar arriba en el canal general y en el canal de pruebas de seguridad de aplicaciones web para participar.

Bienvenido al taller de Test.js. Invitados y asistentes, es genial ver a todos aquí. Quería darles la bienvenida a nuestro pequeño espectáculo, lo que haremos hoy es. Automatizar las pruebas de seguridad de aplicaciones web utilizando Java y React. Es un navegador web.

Es útil tener Discord, la aplicación de Discord, vamos a chatear mucho en Discord, y les contaré sobre eso en un minuto. Pero básicamente lo que vamos a hacer es hacer un fork de un repositorio para una aplicación de ejemplo, una aplicación de node.js. Y lo que haremos en este taller es pedirles que envíen preguntas aplicación de ejemplo, una aplicación de node.js. Y someteremos eso a una rutina de construcción y pruebas automatizada utilizando las acciones de GitHub, que es el sistema de CI/CD de GitHub integrado en GitHub, y es gratuito para su uso por cualquier persona hasta, como, 2000 minutos al mes, algo así.

Así que construiremos esa aplicación, y luego la someteremos a una serie de pruebas, una variedad de diferentes pruebas de seguridad. Y nuevamente, lo único que realmente necesitas es un navegador web, porque todo lo que vamos a hacer es a través de la interfaz web de GitHub para que podamos crear archivos, hacer un fork de un repositorio, crear archivos, los archivos que necesitamos, ejecutar las pruebas que necesitamos utilizando las acciones de GitHub y demás. Lo que realmente necesitas para unirte a nosotros es unirte a nuestro Discord. Y unirte al canal de pruebas de seguridad de aplicaciones web de octubre de 2022 en Discord. Entonces, voy a publicar ese enlace aquí para todos. Así que, si puedes ir al primer enlace que proporciono, el discord.gg.xnmb.. Haz clic en ese enlace y deberías unirte a nuestro servidor de Discord. Y luego, en el canal general, simplemente da un pulgar arriba a nuestro mensaje de bienvenida. Eso te permitirá ver el resto de los canales. Luego, una vez que estés allí, únete a ese canal de pruebas de seguridad de aplicaciones web de octubre de 2022. Y luego, cuando estés en ese canal de pruebas de seguridad de aplicaciones web, danos un pulgar arriba también, para que sepamos que estás ahí.

2. Comenzando con la Masterclass

Short description:

Ya tenemos una pregunta. Parece que no puedo revisar los repositorios. No te preocupes por eso. Solo puedes ver el repositorio a través de nuestro sitio web. Cuando llegues al repositorio de GitHub de esta masterclass, lo único que realmente necesitas es este readme, y puedes hacer clic en los enlaces para acceder a la información allí. Lo primero que haremos al crear la aplicación es hacer un fork de otro repositorio. Parece que hay personas uniéndose al servidor de Discord. Aquí está el libro de trabajo o guía para la masterclass que seguiremos. Si algo de esto no funciona, aún deberías poder seguir el curso. Nuevamente, lo único que necesitas es un navegador web y acceso a GitHub, es decir, una cuenta de GitHub. Siéntete libre de hacer preguntas y ayudarse mutuamente en el chat de Discord. Comenzaré con una diapositiva.

Ya tenemos una pregunta. Esto es genial. Parece que no puedo revisar los repositorios. No te preocupes por eso. Solo puedes ver el repositorio a través de nuestro sitio web. Solo estamos siguiendo el readme que está allí. Te mostraré cómo se ve eso. Cuando llegues al repositorio de GitHub de esta masterclass de GitHub actions, lo único que realmente necesitas de allí es este readme, y puedes hacer clic en los enlaces para acceder a la información allí.

Lo primero que haremos al crear la aplicación es hacer un fork de otro repositorio. Muy bien. Parece que hay personas uniéndose al servidor de Discord. Un enlace de GitHub en la ventana del panel de discusión. Creo que nos referimos a esta ventana. Así que déjame darte este enlace. Aquí está el libro de trabajo o guía para la masterclass que seguiremos. Si algo de esto no funciona, aún deberías poder seguir el curso. Nuevamente, lo único que necesitas es un navegador web y acceso a GitHub, es decir, una cuenta de GitHub. Voy a comenzar. Siéntete libre de hacer preguntas y ayudarse mutuamente en el chat de Discord. Y Mimi, si puedes ayudar a las personas que tengan problemas, eso sería genial. Voy a comenzar con una diapositiva. Gracias.

QnA

Watch more workshops on topic

Domina los Patrones de JavaScript
JSNation 2024JSNation 2024
145 min
Domina los Patrones de JavaScript
Top Content
Featured Workshop
Adrian Hajdin
Adrian Hajdin
Durante esta masterclass, los participantes revisarán los patrones esenciales de JavaScript que todo desarrollador debería conocer. A través de ejercicios prácticos, ejemplos del mundo real y discusiones interactivas, los asistentes profundizarán su comprensión de las mejores prácticas para organizar el código, resolver desafíos comunes y diseñar arquitecturas escalables. Al final de la masterclass, los participantes ganarán una nueva confianza en su capacidad para escribir código JavaScript de alta calidad que resista el paso del tiempo.
Puntos Cubiertos:
1. Introducción a los Patrones de JavaScript2. Patrones Fundamentales3. Patrones de Creación de Objetos4. Patrones de Comportamiento5. Patrones Arquitectónicos6. Ejercicios Prácticos y Estudios de Caso
Cómo Ayudará a los Desarrolladores:
- Obtener una comprensión profunda de los patrones de JavaScript y sus aplicaciones en escenarios del mundo real- Aprender las mejores prácticas para organizar el código, resolver desafíos comunes y diseñar arquitecturas escalables- Mejorar las habilidades de resolución de problemas y la legibilidad del código- Mejorar la colaboración y la comunicación dentro de los equipos de desarrollo- Acelerar el crecimiento de la carrera y las oportunidades de avance en la industria del software
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
Uso de CodeMirror para construir un editor de JavaScript con Linting y AutoCompletado
React Day Berlin 2022React Day Berlin 2022
86 min
Uso de CodeMirror para construir un editor de JavaScript con Linting y AutoCompletado
Top Content
WorkshopFree
Hussien Khayoon
Kahvi Patel
2 authors
Usar una biblioteca puede parecer fácil a primera vista, pero ¿cómo eliges la biblioteca correcta? ¿Cómo actualizas una existente? ¿Y cómo te abres camino a través de la documentación para encontrar lo que quieres?
En esta masterclass, discutiremos todos estos puntos finos mientras pasamos por un ejemplo general de construcción de un editor de código usando CodeMirror en React. Todo mientras compartimos algunas de las sutilezas que nuestro equipo aprendió sobre el uso de esta biblioteca y algunos problemas que encontramos.
Masterclass de Pruebas de API con Postman
TestJS Summit 2023TestJS Summit 2023
48 min
Masterclass de Pruebas de API con Postman
Top Content
WorkshopFree
Pooja Mistry
Pooja Mistry
En el panorama siempre en evolución del desarrollo de software, garantizar la fiabilidad y funcionalidad de las API se ha vuelto primordial. "Pruebas de API con Postman" es una masterclass completa diseñada para equipar a los participantes con los conocimientos y habilidades necesarios para sobresalir en las pruebas de API utilizando Postman, una herramienta poderosa ampliamente adoptada por profesionales en el campo. Esta masterclass profundiza en los fundamentos de las pruebas de API, avanza a técnicas de prueba avanzadas y explora la automatización, las pruebas de rendimiento y el soporte multiprotocolo, proporcionando a los asistentes una comprensión holística de las pruebas de API con Postman.
Únete a nosotros para esta masterclass para desbloquear todo el potencial de Postman para las pruebas de API, agilizar tus procesos de prueba y mejorar la calidad y fiabilidad de tu software. Ya seas un principiante o un probador experimentado, esta masterclass te equipará con las habilidades necesarias para sobresalir en las pruebas de API con Postman.
Testing Web Applications Using Cypress
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Testing Web Applications Using Cypress
Top Content
WorkshopFree
Gleb Bahmutov
Gleb Bahmutov
Esta masterclass te enseñará los conceptos básicos para escribir pruebas end-to-end útiles utilizando Cypress Test Runner.
Cubriremos la escritura de pruebas, cubriendo cada característica de la aplicación, estructurando pruebas, interceptando solicitudes de red y configurando los datos del backend.
Cualquiera que conozca el lenguaje de programación JavaScript y tenga NPM instalado podrá seguir adelante.
Desatando los Componentes del Servidor React: Una Inmersión Profunda en el Desarrollo Web de la Próxima Generación
React Day Berlin 2023React Day Berlin 2023
149 min
Desatando los Componentes del Servidor React: Una Inmersión Profunda en el Desarrollo Web de la Próxima Generación
Workshop
Maurice de Beijer
Maurice de Beijer
¡Prepárate para potenciar tus habilidades de desarrollo web con los Componentes del Servidor React! En esta inmersiva masterclass de 3 horas, desbloquearemos el potencial completo de esta tecnología revolucionaria y exploraremos cómo está transformando la forma en que los desarrolladores construyen aplicaciones web rápidas y eficientes.
Únete a nosotros mientras nos adentramos en el emocionante mundo de los Componentes del Servidor React, que combinan sin problemas el renderizado del lado del servidor con la interactividad del lado del cliente para un rendimiento y una experiencia de usuario inigualables. Obtendrás experiencia práctica a través de ejercicios prácticos, ejemplos del mundo real y orientación experta sobre cómo aprovechar el poder de los Componentes del Servidor en tus propios proyectos.
A lo largo de la masterclass, cubriremos temas esenciales, incluyendo:- Entender las diferencias entre los Componentes del Servidor y del Cliente- Implementar Componentes del Servidor para optimizar la obtención de datos y reducir el tamaño del paquete JavaScript- Integrar Componentes del Servidor y del Cliente para una experiencia de usuario fluida- Estrategias para pasar datos efectivamente entre componentes y gestionar el estado- Consejos y mejores prácticas para maximizar los beneficios de rendimiento de los Componentes del Servidor React

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Escalando con Remix y Micro Frontends
Remix Conf Europe 2022Remix Conf Europe 2022
23 min
Escalando con Remix y Micro Frontends
Top Content
This talk discusses the usage of Microfrontends in Remix and introduces the Tiny Frontend library. Kazoo, a used car buying platform, follows a domain-driven design approach and encountered issues with granular slicing. Tiny Frontend aims to solve the slicing problem and promotes type safety and compatibility of shared dependencies. The speaker demonstrates how Tiny Frontend works with server-side rendering and how Remix can consume and update components without redeploying the app. The talk also explores the usage of micro frontends and the future support for Webpack Module Federation in Remix.
Componentes de Full Stack
Remix Conf Europe 2022Remix Conf Europe 2022
37 min
Componentes de Full Stack
Top Content
RemixConf EU discussed full stack components and their benefits, such as marrying the backend and UI in the same file. The talk demonstrated the implementation of a combo box with search functionality using Remix and the Downshift library. It also highlighted the ease of creating resource routes in Remix and the importance of code organization and maintainability in full stack components. The speaker expressed gratitude towards the audience and discussed the future of Remix, including its acquisition by Shopify and the potential for collaboration with Hydrogen.
Depuración de JS
React Summit 2023React Summit 2023
24 min
Depuración de JS
Top Content
Debugging JavaScript is a crucial skill that is often overlooked in the industry. It is important to understand the problem, reproduce the issue, and identify the root cause. Having a variety of debugging tools and techniques, such as console methods and graphical debuggers, is beneficial. Replay is a time-traveling debugger for JavaScript that allows users to record and inspect bugs. It works with Redux, plain React, and even minified code with the help of source maps.
Haciendo JavaScript en WebAssembly Rápido
JSNation Live 2021JSNation Live 2021
29 min
Haciendo JavaScript en WebAssembly Rápido
Top Content
WebAssembly enables optimizing JavaScript performance for different environments by deploying the JavaScript engine as a portable WebAssembly module. By making JavaScript on WebAssembly fast, instances can be created for each request, reducing latency and security risks. Initialization and runtime phases can be improved with tools like Wiser and snapshotting, resulting in faster startup times. Optimizing JavaScript performance in WebAssembly can be achieved through techniques like ahead-of-time compilation and inline caching. WebAssembly usage is growing outside the web, offering benefits like isolation and portability. Build sizes and snapshotting in WebAssembly depend on the application, and more information can be found on the Mozilla Hacks website and Bike Reliance site.
Automatizando Todo el Código y las Pruebas con GitHub Actions
React Advanced 2021React Advanced 2021
19 min
Automatizando Todo el Código y las Pruebas con GitHub Actions
Top Content
We will learn how to automate code and testing with GitHub Actions, including linting, formatting, testing, and deployments. Automating deployments with scripts and Git hooks can help avoid mistakes. Popular CI-CD frameworks like Jenkins offer powerful orchestration but can be challenging to work with. GitHub Actions are flexible and approachable, allowing for environment setup, testing, deployment, and custom actions. A custom AppleTools Eyes GitHub action simplifies visual testing. Other examples include automating content reminders for sharing old content and tutorials.
¿Webpack en 5 años?
JSNation 2022JSNation 2022
26 min
¿Webpack en 5 años?
Top Content
In the last 10 years, Webpack has shaped the way we develop web applications by introducing code splitting, co-locating style sheets and assets with JavaScript modules, and enabling bundling for server-side processing. Webpack's flexibility and large plugin system have also contributed to innovation in the ecosystem. The initial configuration for Webpack can be overwhelming, but it is necessary due to the complexity of modern web applications. In larger scale applications, there are performance problems in Webpack due to issues with garbage collection, leveraging multiple CPUs, and architectural limitations. Fixing problems in Webpack has trade-offs, but a rewrite could optimize architecture and fix performance issues.