Pruebas de seguridad de JS en GitHub Actions

Para comenzar necesitas una cuenta de GitHub, un repositorio en GitHub y una cuenta de StackHawk. Además, deberás hacer un fork del repositorio Vuln Node Express para trabajar en tus propios flujos de trabajo en GitHub Actions.

Se pueden integrar tres tipos de pruebas de seguridad en GitHub Actions: SCA (Análisis de Composición de Software), SAST (Pruebas de Seguridad de Aplicaciones Estáticas) y DAST (Pruebas de Seguridad de Aplicaciones Dinámicas).

Dependabot es una herramienta de SCA que verifica las dependencias incorporadas en tu código para identificar vulnerabilidades conocidas. Opera en código estático y puede revisar rápidamente tu código, construir tu árbol de dependencias e informar sobre cualquier vulnerabilidad identificable.

SAST, o Pruebas de Seguridad de Aplicaciones Estáticas, analiza el código que has escrito en busca de errores de codificación que podrían indicar vulnerabilidades. En GitHub Actions, puedes usar herramientas como CodeQL para realizar SAST, que se integra directamente y opera en código estático.

DAST, o Pruebas de Seguridad de Aplicaciones Dinámicas, opera en código en ejecución sin importar en qué lenguaje fue escrito. Herramientas como StackHawk, Oosp Zap y Burp Suite son ejemplos de utilidades que realizan escaneos dinámicos y pueden identificar vulnerabilidades en tiempo de ejecución.

GitHub Actions facilita la automatización de pruebas mediante un sistema CI/CD integrado que permite configurar flujos de trabajo con un lenguaje de configuración YAML simple. Ofrece un mercado de acciones, gestión integrada de secretos, y es gratuito para proyectos personales con hasta 2000 minutos al mes.