Pruebas de seguridad automatizadas de GraphQL para desarrolladores

Rate this content
Bookmark

El escáner de seguridad amigable para desarrolladores de NeuraLegion permite a los equipos de desarrollo realizar pruebas de seguridad precisas en cada compilación como parte de su pipeline. Las alertas falsas y las pruebas periódicas poco frecuentes resultan en deuda técnica y de seguridad, así como en productos inseguros. Pero, ¿qué es DAST primero para desarrolladores, cuándo y cómo debes integrarlo en tus pipelines y qué debes buscar al mejorar tu automatización de pruebas de seguridad de GraphQL? Únete a esta charla para estar al día.

This talk has been presented at GraphQL Galaxy 2021, check out the latest edition of this Tech Conference.

FAQ

Neuraligions es un equipo global de expertos en seguridad que ha desarrollado un escáner de pruebas de seguridad de aplicaciones dinámicas, diseñado para ser utilizado por desarrolladores. Ofrece integración en procesos CI/CD, permitiendo realizar pruebas de seguridad automáticas y confiables en las aplicaciones y APIs.

Neuraligions se integra perfectamente en los flujos de trabajo de desarrollo permitiendo realizar pruebas de seguridad desde las primeras pruebas unitarias y en cada compilación o solicitud de extracción. Esto asegura que los procesos de seguridad se manejen sin generar falsos positivos y se adapten naturalmente a las operaciones de desarrollo continuo.

Sí, Neuraligions es compatible con diversos tipos de APIs, incluyendo REST, SOAP y GraphQL. Además, soporta microservicios y aplicaciones de una sola página, y permite escanear tanto URLs locales como de producción.

Neuraligions está diseñado para eliminar los falsos positivos de forma automática, validando cada hallazgo con una prueba de concepto completa, lo que permite a los desarrolladores centrarse en problemas reales sin necesidad de validación manual, optimizando así los ciclos de lanzamiento y reduciendo la deuda técnica.

Neuraligions soporta diversas formas de autenticación, incluyendo autenticación formal, autenticación de encabezado, NTLM, OAuth, y autenticación de múltiples pasos, lo que maximiza la cobertura de las pruebas de seguridad.

Neuraligions permite a los desarrolladores manejar el proceso de pruebas de seguridad, integrándose en el CI/CD para proporcionar retroalimentación inmediata sobre problemas de seguridad sin falsos positivos, facilita la colaboración a través de integraciones con herramientas como JIRA y Slack, y permite realizar escaneos rápidos que se ajustan a las dinámicas de desarrollo rápido típicas de los entornos DevOps.

Oliver Moradov
Oliver Moradov
9 min
09 Dec, 2021

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Neuraligions es un escáner de pruebas de seguridad de aplicaciones dinámicas diseñado para que los desarrolladores prueben aplicaciones, APIs y aseguren una seguridad confiable. Se integra perfectamente en los pipelines, proporcionando resultados precisos sin falsos positivos. El mayor problema con los escáneres de seguridad es la precisión, y Neuralegion aborda esto validando automáticamente los hallazgos y eliminando los falsos positivos. También proporciona visibilidad completa de problemas recurrentes y nuevos, junto con pautas de remedio amigables para los desarrolladores. Las integraciones con herramientas y APIs comunes hacen que la colaboración sea fluida y precisa.

1. Introducción a Neuraligions

Short description:

Neuraligions es un escáner dinámico de pruebas de seguridad de aplicaciones diseñado para desarrolladores para probar aplicaciones, APIs y garantizar una seguridad confiable. Se integra perfectamente en los flujos de trabajo, proporcionando resultados precisos sin falsos positivos. Con Neuraligions, puedes automatizar las pruebas de seguridad para aplicaciones web, aplicaciones internas y APIs, con soporte para REST, SOAP y GraphQL. El escáner te permite definir el alcance de la prueba, manejar contenido dinámico y aprovechar scripts funcionales existentes. Las pruebas son rápidas, cubriendo varias categorías de pruebas y vulnerabilidades de lógica empresarial. Las pruebas autenticadas son totalmente compatibles.

♪♪ Soy Oli, VP aquí en Neuraligions, un escáner de pruebas de seguridad enfocado en desarrolladores. Gracias por unirte mientras discutimos la automatización precisa de las pruebas de seguridad para desarrolladores y el CI/CD.

Ahora, una breve introducción a Neuraligions. Somos un equipo global de expertos e investigadores en seguridad que creamos el mejor escáner de pruebas de seguridad de aplicaciones dinámicas diseñado para ser amado por los desarrolladores para probar tus aplicaciones, tus APIs, pero lo más importante, para ser confiable para tu seguridad. Estás lanzando software más rápido que nunca y la seguridad debe mantenerse al día y este proceso debe ser gestionado por los propios desarrolladores.

Te permitimos construir la superficie de escaneo desde las primeras pruebas unitarias ejecutando pruebas en cada compilación o cada solicitud de extracción. Esto se integra perfectamente en tus flujos de trabajo pero lo más importante, sin falsos positivos. Por lo tanto, puedes confiar en los resultados para detectar y solucionar vulnerabilidades de seguridad de manera rápida y sencilla. Pero echemos un vistazo a lo que hay debajo del capó. Tenemos una interfaz de usuario agradable para los expertos en seguridad para jugar y configurar escaneos manualmente. Pero estamos diseñados para que los desarrolladores gestionen el proceso de pruebas de seguridad, como mencioné antes.

Si te registras en nuestra cuenta gratuita, verás esta interfaz de usuario muy, muy agradable pero también notarás de inmediato que puedes ejecutar escaneos a través del repetidor de la CLI instalado mediante Docker Compose, NPM, Win y realmente puedes configurar tus escaneos como código con archivos de configuración YAML globales integrados en tu CI/CD. Para obtener más información, puedes consultar nuestra documentación para obtener una lista completa de comandos. Por lo tanto, puedes seguir en tu terminal para gestionar estos escaneos.

Entonces, ¿cómo puedes empezar a automatizar tus pruebas de seguridad hoy? En cuanto a la cobertura, te tenemos cubierto. Con Neural Legion, puedes comenzar a escanear cada compilación en busca de vulnerabilidades de seguridad como parte de tu CI. Ya sea contra tus aplicaciones web, tus aplicaciones internas o incluso tus APIs, ya sea REST, SOAP o incluso GraphQL. Los microservicios y las aplicaciones de una sola página son totalmente compatibles. Ya sea que apuntes nuestro escáner a una URL local o a una URL de producción, ya sea que ingiramos tus esquemas de API o incluso colecciones de Postman, o si estás cargando tus archivos de archivo HTTP, tus archivos heart en nuestro motor.

Esto también significa que realmente puedes definir el alcance de la prueba de seguridad, tal vez contra un único punto de entrada o un único punto final, o contra una nueva función específica que acabas de crear. Estos métodos de descubrimiento se pueden ejecutar por separado o incluso de manera concurrente, lo que significa que puedes manejar contenido dinámico del lado del cliente, JavaScript y más. ¿Estás utilizando Selenium o incluso Cypress, por ejemplo? Bueno, puedes comenzar a aprovechar esos scripts funcionales existentes y realizar escaneos con estos archivos heart. Esto significa que tus desarrolladores y QA ahora pueden comenzar a trabajar juntos, tratando los errores de seguridad como los funcionales sin necesidad de ser un experto en ciberseguridad. De cualquier manera, las pruebas son rápidas, se ejecutan en minutos u horas, no en días, manteniendo tu velocidad de DevOps. Sin embargo, cuanto más puedas encontrar y solucionar, mejor.

Tenemos una lista completa de categorías de pruebas que cubren el top 10 de OS, el top 10 de API de OS, Mitre 25 y más. Además, nuestro motor comprende el contexto, comprende las respuestas que recibimos del servidor de aplicaciones. Y podemos utilizar esto para probar vulnerabilidades de lógica empresarial, no solo tus inyecciones triviales, sino cómo nuestro motor puede pasar por alto la lógica o los mecanismos de validación en tus aplicaciones y APIs, eliminando aún más las pruebas de seguridad manuales y realmente poniendo las pruebas de seguridad en manos de los desarrolladores. Las pruebas autenticadas son totalmente compatibles para maximizar la cobertura, ya sea utilizando autenticación formal o autenticación de encabezado, NTLM, OAuth o incluso personalizada, autenticación de múltiples pasos, entre otros. Estamos cubiertos en ese aspecto.

2. Beneficios del escáner de Neuralegion

Short description:

El mayor problema con los escáneres de seguridad es la precisión. Los desarrolladores quieren problemas reales, no falsos positivos. Neuralegion valida automáticamente los hallazgos, eliminando los falsos positivos. Proporciona una visibilidad completa de los problemas recurrentes y nuevos, junto con pautas de remedio amigables para los desarrolladores. Las integraciones con herramientas comunes y APIs hacen que la colaboración sea fluida y precisa.

Pero creo que el mayor problema con los escáneres de seguridad es la precisión, ¿verdad? Levanten la mano si les encantan las alertas falsas. No, no lo pensé. ¿Cuánto tiempo pasan validando problemas o solucionando problemas de hace seis meses o un año? DevOps y CICD significan automatización, ¿verdad? ¿Cómo pueden hacerlo sin precisión?

Los desarrolladores quieren conocer problemas reales, no exageraciones. Siempre se habla de reducir los falsos positivos. Bueno, aquí en New Religion, nos gusta hablar de eliminar los falsos positivos por completo de forma automática. Ya sea que estés en una startup o una organización pequeña, probablemente sin un equipo de seguridad dedicado, o tal vez seas una gran organización empresarial donde los desarrolladores superan en número a la seguridad en 50 o incluso 100 a uno. De cualquier manera, estás desarrollando y lanzando a una velocidad vertiginosa con múltiples compilaciones al día, pero también introduciendo problemas de seguridad en producción a la misma velocidad.

Lo último que quieres hacer es comenzar a introducir un montón de falsos positivos en tu carga de trabajo que necesitan validación, sin mencionar que no puedes validar realmente tu riesgo. Los resultados simplemente se ignoran y prácticamente la herramienta se desactivará. Los falsos positivos en esta validación manual de resultados están perjudicando tus ciclos rápidos de lanzamiento y aumentando tu deuda técnica. El escáner de Neuralegion valida automáticamente cada hallazgo con una prueba de concepto completa sin necesidad de validación manual. Tus compilaciones no fallarán sin motivo y tu ticket de JIRA no se llenará de falsos positivos.

Este ejemplo a la derecha muestra una captura de pantalla generada automáticamente de este problema de seguridad de scripting entre sitios reflectante que causa esta ejecución emergente creada tal vez por un usuario malintencionado. Buscamos automáticamente esta reflexión como parte de nuestro proceso de validación y te lo presentamos. Confirmamos el problema y nos aseguramos de que no estés persiguiendo tu cola. Pero ahora que sabes qué se informa como real, ¿cómo solucionas los problemas? Bueno, te brindamos una visibilidad completa de lo que está sucediendo. Comprende dónde se encuentran tus problemas recurrentes o se detectan nuevos problemas. Nuevamente, totalmente validado automáticamente por el motor para que no tengas que hacerlo tú. Se proporcionan pautas de remedio amigables para los desarrolladores con recursos adicionales para ayudarte a comprender los problemas y, lo que es más importante, cómo solucionarlos. Se proporcionan todas las solicitudes, respuestas, encabezados y todos los problemas se pueden copiar como un comando curl para depurar con una función de nueva prueba para ejecutar el mismo ataque o la misma carga y facilitar y acelerar la solución para ti, el desarrollador. Asignar equipos de ingeniería o activos a proyectos específicos te permite segregar el escaneo y obtener una visibilidad global ya sea de tus escaneos o incluso de tu postura de riesgo lo que significa que si los equipos están creando los mismos problemas se puede proporcionar capacitación. Míralo como un entrenamiento seguro sobre la marcha. Y todo esto se integra perfectamente en tus flujos de trabajo.

Con CICD y DevOps, hablamos de mover hacia la izquierda. DAST tradicionalmente se ha llevado a cabo en las etapas cuatro y cinco, dirigido por profesionales de la seguridad. Las herramientas se han construido para profesionales de la seguridad. Puedes comenzar a moverte hacia la izquierda, poniendo DAST en manos de los desarrolladores con Neuralegion. Escanea cada confirmación o solicitud de extracción, obtén comentarios inmediatos de los problemas, sin falsos positivos para comenzar a solucionar ahora. Tenemos integraciones con todas tus herramientas comunes o, mejor aún, utiliza nuestra API e integra. Se pueden abrir tickets de Jira, enviar mensajes a colegas relevantes en Slack. La colaboración es fluida, fácil y precisa. Entonces, ¿qué estás esperando? Regístrate para obtener una cuenta gratuita y podrás comenzar a escanear en minutos. Conéctate con nosotros, consulta nuestra documentación para obtener más información. De cualquier manera, disfruta de la conferencia y feliz escaneo de seguridad preciso. ♪♪

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

De GraphQL Zero a GraphQL Hero con RedwoodJS
GraphQL Galaxy 2021GraphQL Galaxy 2021
32 min
De GraphQL Zero a GraphQL Hero con RedwoodJS
Top Content
Tom Pressenwurter introduces Redwood.js, a full stack app framework for building GraphQL APIs easily and maintainably. He demonstrates a Redwood.js application with a React-based front end and a Node.js API. Redwood.js offers a simplified folder structure and schema for organizing the application. It provides easy data manipulation and CRUD operations through GraphQL functions. Redwood.js allows for easy implementation of new queries and directives, including authentication and limiting access to data. It is a stable and production-ready framework that integrates well with other front-end technologies.
Estado Local y Caché del Servidor: Encontrando un Equilibrio
Vue.js London Live 2021Vue.js London Live 2021
24 min
Estado Local y Caché del Servidor: Encontrando un Equilibrio
Top Content
This Talk discusses handling local state in software development, particularly when dealing with asynchronous behavior and API requests. It explores the challenges of managing global state and the need for actions when handling server data. The Talk also highlights the issue of fetching data not in Vuex and the challenges of keeping data up-to-date in Vuex. It mentions alternative tools like Apollo Client and React Query for handling local state. The Talk concludes with a discussion on GitLab going public and the celebration that followed.
Baterías Incluidas Reimaginadas - El Resurgimiento de GraphQL Yoga
GraphQL Galaxy 2021GraphQL Galaxy 2021
33 min
Baterías Incluidas Reimaginadas - El Resurgimiento de GraphQL Yoga
Envelope is a powerful GraphQL plugin system that simplifies server development and allows for powerful plugin integration. It provides conformity for large corporations with multiple GraphQL servers and can be used with various frameworks. Envelope acts as the Babel of GraphQL, allowing the use of non-spec features. The Guild offers GraphQL Hive, a service similar to Apollo Studio, and encourages collaboration with other frameworks and languages.
Aplicaciones sólidas de React y GraphQL para personas con prisa
GraphQL Galaxy 2022GraphQL Galaxy 2022
29 min
Aplicaciones sólidas de React y GraphQL para personas con prisa
The Talk discusses the challenges and advancements in using GraphQL and React together. It introduces RedwoodJS, a framework that simplifies frontend-backend integration and provides features like code generation, scaffolding, and authentication. The Talk demonstrates how to set up a Redwood project, generate layouts and models, and perform CRUD operations. Redwood automates many GraphQL parts and provides an easy way for developers to get started with GraphQL. It also highlights the benefits of Redwood and suggests checking out RedwoodJS.com for more information.
Adoptando GraphQL en una Empresa
GraphQL Galaxy 2021GraphQL Galaxy 2021
32 min
Adoptando GraphQL en una Empresa
Today's Talk is about adopting GraphQL in an enterprise. It discusses the challenges of using REST APIs and the benefits of GraphQL. The Talk explores different approaches to adopting GraphQL, including coexistence with REST APIs. It emphasizes the power of GraphQL and provides tips for successful adoption. Overall, the Talk highlights the advantages of GraphQL in terms of efficiency, collaboration, and control over APIs.
Deja paso a los resolvers: un nuevo enfoque para la ejecución de GraphQL
GraphQL Galaxy 2022GraphQL Galaxy 2022
16 min
Deja paso a los resolvers: un nuevo enfoque para la ejecución de GraphQL
GraphQL has made a huge impact in the way we build client applications, websites, and mobile apps. Despite the dominance of resolvers, the GraphQL specification does not mandate their use. Introducing Graphast, a new project that compiles GraphQL operations into execution and output plans, providing advanced optimizations. In GraphFast, instead of resolvers, we have plan resolvers that deal with future data. Graphfast plan resolvers are short and efficient, supporting all features of modern GraphQL.

Workshops on related topic

Construir con SvelteKit y GraphQL
GraphQL Galaxy 2021GraphQL Galaxy 2021
140 min
Construir con SvelteKit y GraphQL
Top Content
Featured WorkshopFree
Scott Spence
Scott Spence
¿Alguna vez has pensado en construir algo que no requiera mucho código de plantilla con un tamaño de paquete pequeño? En esta masterclass, Scott Spence irá desde el hola mundo hasta cubrir el enrutamiento y el uso de endpoints en SvelteKit. Configurarás una API de GraphQL en el backend y luego usarás consultas de GraphQL con SvelteKit para mostrar los datos de la API de GraphQL. Construirás un proyecto rápido y seguro que utiliza las características de SvelteKit, y luego lo desplegarás como un sitio completamente estático. Este curso es para los curiosos de Svelte que no han tenido una experiencia extensa con SvelteKit y quieren una comprensión más profunda de cómo usarlo en aplicaciones prácticas.

Tabla de contenidos:
- Inicio e introducción a Svelte
- Inicializar el proyecto frontend
- Recorrido por el proyecto esqueleto de SvelteKit
- Configurar el proyecto backend
- Consultar datos con GraphQL
- Recuperación de datos en el frontend con GraphQL
- Estilización
- Directivas de Svelte
- Enrutamiento en SvelteKit
- Endpoints en SvelteKit
- Despliegue en Netlify
- Navegación
- Mutaciones en GraphCMS
- Envío de mutaciones GraphQL a través de SvelteKit
- Preguntas y respuestas
Construye Aplicaciones Modernas Utilizando GraphQL y Javascript
Node Congress 2024Node Congress 2024
152 min
Construye Aplicaciones Modernas Utilizando GraphQL y Javascript
Featured Workshop
Emanuel Scirlet
Miguel Henriques
2 authors
Ven y aprende cómo puedes potenciar tus aplicaciones modernas y seguras utilizando GraphQL y Javascript. En este masterclass construiremos una API de GraphQL y demostraremos los beneficios del lenguaje de consulta para APIs y los casos de uso para los que es adecuado. Se requiere conocimiento básico de Javascript.
Seguridad de tipo de extremo a extremo con React, GraphQL y Prisma
React Advanced Conference 2022React Advanced Conference 2022
95 min
Seguridad de tipo de extremo a extremo con React, GraphQL y Prisma
Featured WorkshopFree
Sabin Adams
Sabin Adams
En este masterclass, obtendrás una visión de primera mano de lo que es la seguridad de tipo de extremo a extremo y por qué es importante. Para lograr esto, construirás una API de GraphQL utilizando herramientas modernas y relevantes que serán consumidas por un cliente de React.
Prerrequisitos: - Node.js instalado en tu máquina (12.2.X / 14.X)- Se recomienda (pero no es obligatorio) utilizar VS Code para las tareas prácticas- Un IDE instalado (se recomienda VSCode)- (Bueno tener) *Un conocimiento básico de Node.js, React y TypeScript
GraphQL para Desarrolladores de React
GraphQL Galaxy 2022GraphQL Galaxy 2022
112 min
GraphQL para Desarrolladores de React
Featured Workshop
Roy Derks
Roy Derks
Hay muchas ventajas en utilizar GraphQL como fuente de datos para el desarrollo frontend, en comparación con las API REST. Nosotros, los desarrolladores, por ejemplo, necesitamos escribir mucho código imperativo para recuperar datos y mostrarlos en nuestras aplicaciones y manejar el estado. Con GraphQL, no solo puedes reducir la cantidad de código necesario para la obtención de datos y la gestión del estado, sino que también obtendrás una mayor flexibilidad, mejor rendimiento y, sobre todo, una mejor experiencia de desarrollo. En este masterclass aprenderás cómo GraphQL puede mejorar tu trabajo como desarrollador frontend y cómo manejar GraphQL en tu aplicación frontend de React.
Construye una aplicación WordPress sin cabeza con Next.js y WPGraphQL
React Summit 2022React Summit 2022
173 min
Construye una aplicación WordPress sin cabeza con Next.js y WPGraphQL
Top Content
WorkshopFree
Kellen Mace
Kellen Mace
En esta masterclass, aprenderás cómo construir una aplicación Next.js que utiliza Apollo Client para obtener datos de un backend de WordPress sin cabeza y usarlo para renderizar las páginas de tu aplicación. Aprenderás cuándo debes considerar una arquitectura de WordPress sin cabeza, cómo convertir un backend de WordPress en un servidor GraphQL, cómo componer consultas usando el IDE GraphiQL, cómo colocar fragmentos GraphQL con tus componentes, y más.
Masterclass de Pruebas de API con Postman
TestJS Summit 2023TestJS Summit 2023
48 min
Masterclass de Pruebas de API con Postman
Top Content
WorkshopFree
Pooja Mistry
Pooja Mistry
En el panorama siempre en evolución del desarrollo de software, garantizar la fiabilidad y funcionalidad de las API se ha vuelto primordial. "Pruebas de API con Postman" es una masterclass completa diseñada para equipar a los participantes con los conocimientos y habilidades necesarios para sobresalir en las pruebas de API utilizando Postman, una herramienta poderosa ampliamente adoptada por profesionales en el campo. Esta masterclass profundiza en los fundamentos de las pruebas de API, avanza a técnicas de prueba avanzadas y explora la automatización, las pruebas de rendimiento y el soporte multiprotocolo, proporcionando a los asistentes una comprensión holística de las pruebas de API con Postman.
Únete a nosotros para esta masterclass para desbloquear todo el potencial de Postman para las pruebas de API, agilizar tus procesos de prueba y mejorar la calidad y fiabilidad de tu software. Ya seas un principiante o un probador experimentado, esta masterclass te equipará con las habilidades necesarias para sobresalir en las pruebas de API con Postman.