Versión en EspañolES

Pruebas de seguridad para aplicaciones JS

Con StackHawk, los equipos de ingeniería pueden realizar pruebas de seguridad en aplicaciones JS y las API subyacentes para encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Con pruebas automatizadas en cada PR, puedes estar seguro de que tu aplicación es segura. Únete a Ryan Severns, cofundador de StackHawk, para obtener una breve descripción de las pruebas de seguridad de aplicaciones JS con StackHawk.

This talk has been presented at TestJS Summit - January, 2021, check out the latest edition of this JavaScript Conference.

FAQ

Stackhawk es una herramienta de seguridad de aplicaciones diseñada para ayudar a los desarrolladores a encontrar, clasificar y solucionar errores de seguridad en aplicaciones. Se enfoca en realizar pruebas activas de seguridad en aplicaciones y APIs dinámicas en ejecución.

Stackhawk facilita la integración de pruebas de seguridad en el flujo de trabajo de CI/CD, permitiendo a los desarrolladores encontrar y solucionar vulnerabilidades antes de que el software llegue a producción. Esto ayuda a acortar drasticamente el tiempo para solucionar los problemas.

A diferencia de otras herramientas que solo buscan vulnerabilidades en bibliotecas de código abierto, Stackhawk se enfoca tanto en vulnerabilidades de código abierto explotables como en problemas de seguridad que podrían haber sido introducidos por el propio equipo de desarrollo en la aplicación.

Para realizar un escaneo con Stackhawk, los usuarios deben configurar un archivo YAML y utilizar un escáner basado en Docker. Esto permite ejecutar escaneos en cualquier lugar, ya sea localmente, en CI/CD o en un entorno de producción.

Stackhawk está diseñado para escanear aplicaciones modernas, incluyendo tanto la aplicación principal como las APIs subyacentes. Se integra con especificaciones como OpenAPI y puntos de introspección de GraphQL.

Stackhawk permite revisar detalles de cada hallazgo de seguridad, proporcionando la ruta, la solicitud y la respuesta implicadas. Los usuarios pueden clasificar hallazgos, marcándolos como aceptados con riesgo, o enviarlos a herramientas como Jira para su tratamiento posterior.

Stackhawk ofrece integraciones extensivas para facilitar la combinación con el resto de la pila de ingeniería del usuario, aunque los detalles específicos de las integraciones disponibles no se especifican en el texto.

Las personas interesadas en usar Stackhawk pueden registrarse para obtener una cuenta gratuita en stackhawk.com y consultar la documentación disponible en docs.stackhawk.com para más información sobre cómo configurar y comenzar a usar la herramienta.

testing security testing

Ryan Severns

5 min

15 Jun, 2021

Comments

Video Summary and Transcription

Stackhawk es una herramienta de seguridad de aplicaciones que se centra en las pruebas de seguridad dinámicas de aplicaciones y API. Está construida sobre el proyecto de código abierto ZAP y diseñada para la automatización en CICD. Stackhawk proporciona un conjunto completo de herramientas para las pruebas de seguridad de aplicaciones y la corrección de errores, incluyendo la visualización de hallazgos, la recreación de solicitudes y la solución fácil de vulnerabilidades. Permite la clasificación de hallazgos e integración con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.

Available in English: Security Testing for JS Apps

1. Introducción a Stackhawk

Short description:

Stackhawk es una herramienta de seguridad de aplicaciones construida para encontrar, clasificar y solucionar errores de seguridad de aplicaciones. Se enfoca en pruebas de seguridad dinámicas de aplicaciones y APIs, buscando vulnerabilidades explotables de código abierto y vulnerabilidades introducidas por la aplicación. Stackhawk se basa en el proyecto de código abierto ZAP y está diseñado para la automatización en CICD. Te permite escanear tu aplicación utilizando un archivo de configuración YAML y un escáner Docker. Los escaneos se pueden ejecutar en cualquier lugar, incluyendo localmente o en un entorno de producción. Stackhawk es altamente eficiente, proporcionando resultados rápidamente, y te permite clasificar y solucionar cualquier hallazgo.

Hola, TestJS. Mi nombre es Ryan Severance. Soy uno de los fundadores de Stackhawk. Somos una herramienta de seguridad de aplicaciones construida para facilitar a los desarrolladores encontrar, clasificar, y solucionar errores de seguridad de aplicaciones.

Creamos esta empresa porque sabemos que el software se está enviando a producción más rápido que nunca, y las herramientas de seguridad de aplicaciones deben poder mantenerse al día con el ritmo del desarrollo de software moderno. Así que déjame contarte un poco sobre Stackhawk.

Stackhawk es una herramienta de pruebas de seguridad de aplicaciones y APIs dinámicas. Por lo tanto, realizamos pruebas activas de seguridad en tu aplicación en ejecución. Es posible que estés familiarizado con herramientas que buscan vulnerabilidades de código abierto. Vulnerabilidades en las bibliotecas de código abierto que estás utilizando. Somos grandes fanáticos de esas herramientas. Eso es un poco diferente a lo que hacemos nosotros. Nos enfocamos en la aplicación. Por lo tanto, encontramos cualquier vulnerabilidad de código abierto explotable, y también encontramos cualquier cosa que tú o tu equipo hayan agregado a la aplicación que esté creando una vulnerabilidad. Estamos construidos sobre el proyecto de código abierto ZAP. Y en última instancia, estamos construidos para la automatización en CICD.

Así que creemos firmemente en ejecutar una prueba de seguridad en el flujo de trabajo, encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Y hacemos que eso sea realmente sencillo. Así es como funciona. Comienzas escaneando tu aplicación. Tienes un archivo de configuración basado en YAML y un escáner basado en Docker. Te permite ejecutar los escaneos en cualquier lugar. Puedes ejecutarlo localmente, ejecutarlo en CICD, puedes apuntarlo a tu entorno de producción y ejecutar el escaneo. Y rastrea la aplicación. Importamos la especificación OpenAPI, el punto de introspección de GraphQL. En última instancia, estamos construidos para escanear aplicaciones modernas y abarcar tanto la aplicación como las APIs subyacentes. Y en última instancia, estamos muy enfocados en la performance de las pruebas de aplicaciones técnicas. Entonces, si has utilizado alguna de estas herramientas en el pasado, algunas de las herramientas heredadas, los tiempos de escaneo se miden en horas, no en minutos. Y creemos firmemente en ser muy eficientes. Luego, una vez que hayas ejecutado un escaneo, revisa cualquier hallazgo y clasifica y soluciona esos hallazgos.

2. Funciones y Integración de Stackhawk

Short description:

Stackhawk ofrece un conjunto completo de herramientas para pruebas de seguridad de aplicaciones y corrección de errores. Ofrece funciones como ver hallazgos, recrear solicitudes y solucionar vulnerabilidades fácilmente. Stackhawk también permite clasificar los hallazgos e integrarse con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.

Cuando revisas un hallazgo, muestra la ruta en la que se encontró, puedes ver la solicitud que se envió a la aplicación y la respuesta que se obtuvo, lo que proporciona evidencia del hallazgo.

Tenemos un botón para crear un comando curl y recrear esa misma solicitud. Esto facilita mucho el proceso de revisar el código, identificar dónde puede haber un manejo incorrecto y acorta drásticamente el tiempo para solucionar los problemas.

Muchos de los hallazgos de seguridad en las aplicaciones no son tan difíciles de solucionar. Solo se trata de saber dónde están y tener las herramientas necesarias para solucionarlos. También tenemos documentación de corrección vinculada en la aplicación. Lo hacemos muy fácil si hay un hallazgo para solucionarlo y volver a trabajar en las características en las que estás trabajando.

También tenemos una función de clasificación para que puedas marcar un hallazgo como aceptado con riesgo, echar un vistazo, simplemente no es algo que valga la pena solucionar. O tal vez lo hayas enviado a Jira, se ha priorizado con tu otro trabajo de ingeniería. El escáner seguirá encontrándolo, pero no romperá la compilación, no será ruidoso. Te permite gestionar cómo quieres lidiar con los hallazgos de seguridad que aparecen.

Y en última instancia, creemos firmemente en facilitar la integración con el resto de tu pila de ingeniería. Por lo tanto, tenemos muchas integraciones y lo hacemos simple.

Así que eso es Stackhawk en pocas palabras, nos encantaría que nos visitaras. Puedes registrarte para obtener una cuenta gratuita en stackhawk.com, puedes consultar nuestra documentación para obtener un poco más de información, eso es docs.stackhawk.com. Y no dudes en contactarnos si tienes alguna pregunta. ¡Muchas gracias!

Available in other languages:

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Solicitudes de Red con Cypress

TestJS Summit 2021

33 min

Solicitudes de Red con Cypress

Top Content

Cecelia Martinez

Ionic

Cecilia Martinez, a technical account manager at Cypress, discusses network requests in Cypress and demonstrates commands like cydot request and SCI.INTERCEPT. She also explains dynamic matching and aliasing, network stubbing, and the pros and cons of using real server responses versus stubbing. The talk covers logging request responses, testing front-end and backend API, handling list length and DOM traversal, lazy loading, and provides resources for beginners to learn Cypress.

testing cypress

Pruebas de ciclo completo con Cypress

TestJS Summit 2022

27 min

Pruebas de ciclo completo con Cypress

Top Content

Filip Hric

Replay.io

Cypress is a powerful tool for end-to-end testing and API testing. It provides instant feedback on test errors and allows tests to be run inside the browser. Cypress enables testing at both the application and network layers, making it easier to reach different edge cases. With features like AppActions and component testing, Cypress allows for comprehensive testing of individual components and the entire application. Join the workshops to learn more about full circle testing with Cypress.

testing cypress e2e testing

Desarrollo Efectivo de Pruebas

TestJS Summit 2021

31 min

Desarrollo Efectivo de Pruebas

Top Content

Shai Reznik

HiRez.io

This Talk introduces Test Effective Development, a new approach to testing that aims to make companies more cost-effective. The speaker shares their personal journey of improving code quality and reducing bugs through smarter testing strategies. They discuss the importance of finding a balance between testing confidence and efficiency and introduce the concepts of isolated and integrated testing. The speaker also suggests different testing strategies based on the size of the application and emphasizes the need to choose cost-effective testing approaches based on the specific project requirements.

testing unit testing

Playwright Test Runner

TestJS Summit 2021

25 min

Playwright Test Runner

Top Content

Andrey Lushnikov

Microsoft

The Playwright Test Runner is a cross-browser web testing framework that allows you to write tests using just a few lines of code. It supports features like parallel test execution, device emulation, and different reporters for customized output. Code-Gen is a new feature that generates code to interact with web pages. Playwright Tracing provides a powerful tool for debugging and analyzing test actions, with the ability to explore trace files using TraceViewer. Overall, Playwright Test offers installation, test authoring, debugging, and post-mortem debugging capabilities.

testing

Todos pueden escribir pruebas fácilmente

TestJS Summit 2023

21 min

Todos pueden escribir pruebas fácilmente

Debbie O'Brien

Senior Program Manager @ Microsoft, working with Playwright.

Playwright is a reliable end-to-end testing tool for modern web apps that provides one API, full isolation, fast execution, and supports multiple languages. It offers features like auto-weighting, retrying assertions, seamless testing of iframes and shadow DOM, test isolation, parallelism, and scalability. Playwright provides tools like VS Code extension, UiMode, and Trace Viewer for writing, debugging, and running tests. Effective tests prioritize user-facing attributes, use playwright locators and assertions, and avoid testing third-party dependencies. Playwright simplifies testing by generating tests, providing code generation and UI mode, and allows for easy running and debugging of tests. It helps in fixing failed tests and analyzing DOM changes, fixing locator mismatches, and scaling tests. Playwright is open source, free, and continuously growing.

testing e2e testing

Workshops on related topic

Diseñando Pruebas Efectivas con la Biblioteca de Pruebas de React

React Summit 2023

151 min

Diseñando Pruebas Efectivas con la Biblioteca de Pruebas de React

Top Content

Featured Workshop

Josh Justice

La Biblioteca de Pruebas de React es un gran marco para las pruebas de componentes de React porque responde muchas preguntas por ti, por lo que no necesitas preocuparte por esas preguntas. Pero eso no significa que las pruebas sean fáciles. Todavía hay muchas preguntas que tienes que resolver por ti mismo: ¿Cuántas pruebas de componentes debes escribir vs pruebas de extremo a extremo o pruebas de unidad de nivel inferior? ¿Cómo puedes probar una cierta línea de código que es difícil de probar? ¿Y qué se supone que debes hacer con esa persistente advertencia de act()?
En esta masterclass de tres horas, presentaremos la Biblioteca de Pruebas de React junto con un modelo mental de cómo pensar en el diseño de tus pruebas de componentes. Este modelo mental te ayudará a ver cómo probar cada bit de lógica, si debes o no simular dependencias, y ayudará a mejorar el diseño de tus componentes. Te irás con las herramientas, técnicas y principios que necesitas para implementar pruebas de componentes de bajo costo y alto valor.
Tabla de contenidos- Los diferentes tipos de pruebas de aplicaciones de React, y dónde encajan las pruebas de componentes- Un modelo mental para pensar en las entradas y salidas de los componentes que pruebas- Opciones para seleccionar elementos DOM para verificar e interactuar con ellos- El valor de los mocks y por qué no deben evitarse- Los desafíos con la asincronía en las pruebas de RTL y cómo manejarlos
Requisitos previos- Familiaridad con la construcción de aplicaciones con React- Experiencia básica escribiendo pruebas automatizadas con Jest u otro marco de pruebas unitarias- No necesitas ninguna experiencia con la Biblioteca de Pruebas de React- Configuración de la máquina: Node LTS, Yarn

react testing best practices deep dive react testing react testing library test driven development react

Cómo empezar con Cypress

TestJS Summit 2022

146 min

Cómo empezar con Cypress

Featured WorkshopFree

Filip Hric

La web ha evolucionado. Finalmente, también lo ha hecho el testing. Cypress es una herramienta de testing moderna que responde a las necesidades de testing de las aplicaciones web modernas. Ha ganado mucha popularidad en los últimos años, obteniendo reconocimiento a nivel mundial. Si has estado esperando aprender Cypress, ¡no esperes más! Filip Hric te guiará a través de los primeros pasos sobre cómo empezar a usar Cypress y configurar tu propio proyecto. La buena noticia es que aprender Cypress es increíblemente fácil. Escribirás tu primer test en poco tiempo y luego descubrirás cómo escribir un test de extremo a extremo completo para una aplicación web moderna. Aprenderás conceptos fundamentales como la capacidad de reintentar. Descubre cómo trabajar e interactuar con tu aplicación y aprende cómo combinar pruebas de API y de UI. A lo largo de todo este masterclass, escribiremos código y realizaremos ejercicios prácticos. Saldrás con una experiencia práctica que podrás aplicar a tu propio proyecto.

testing cypress

Detox 101: Cómo escribir pruebas de extremo a extremo estables para su aplicación React Native

React Summit 2022

117 min

Detox 101: Cómo escribir pruebas de extremo a extremo estables para su aplicación React Native

Top Content

WorkshopFree

Yevheniia Hlovatska

A diferencia de las pruebas unitarias, las pruebas de extremo a extremo buscan interactuar con su aplicación tal como lo haría un usuario real. Y como todos sabemos, puede ser bastante desafiante. Especialmente cuando hablamos de aplicaciones móviles.
Las pruebas dependen de muchas condiciones y se consideran lentas e inestables. Por otro lado, las pruebas de extremo a extremo pueden dar la mayor confianza de que su aplicación está funcionando. Y si se hace correctamente, puede convertirse en una herramienta increíble para aumentar la velocidad del desarrollador.
Detox es un marco de pruebas de extremo a extremo en caja gris para aplicaciones móviles. Desarrollado por Wix para resolver el problema de la lentitud e inestabilidad y utilizado por React Native en sí como su herramienta de pruebas E2E.
Únete a mí en esta masterclass para aprender cómo hacer que tus pruebas de extremo a extremo móviles con Detox sean excelentes.
Prerrequisitos- iOS/Android: MacOS Catalina o más reciente- Solo Android: Linux- Instalar antes de la masterclass

testing react native e2e testing beginner friendly react native accessibility react native detox react native test automation react native testing

Masterclass de Pruebas de API con Postman

TestJS Summit 2023

48 min

Masterclass de Pruebas de API con Postman

Top Content

WorkshopFree

Pooja Mistry

En el panorama siempre en evolución del desarrollo de software, garantizar la fiabilidad y funcionalidad de las API se ha vuelto primordial. "Pruebas de API con Postman" es una masterclass completa diseñada para equipar a los participantes con los conocimientos y habilidades necesarios para sobresalir en las pruebas de API utilizando Postman, una herramienta poderosa ampliamente adoptada por profesionales en el campo. Esta masterclass profundiza en los fundamentos de las pruebas de API, avanza a técnicas de prueba avanzadas y explora la automatización, las pruebas de rendimiento y el soporte multiprotocolo, proporcionando a los asistentes una comprensión holística de las pruebas de API con Postman.
Únete a nosotros para esta masterclass para desbloquear todo el potencial de Postman para las pruebas de API, agilizar tus procesos de prueba y mejorar la calidad y fiabilidad de tu software. Ya seas un principiante o un probador experimentado, esta masterclass te equipará con las habilidades necesarias para sobresalir en las pruebas de API con Postman.

testing security testing

Monitoreo 101 para Desarrolladores de React

React Summit US 2023

107 min

Monitoreo 101 para Desarrolladores de React

Top Content

WorkshopFree

2 authors

Si encontrar errores en tu proyecto frontend es como buscar una aguja en un pajar de código, entonces el monitoreo de errores de Sentry puede ser tu detector de metales. Aprende los conceptos básicos del monitoreo de errores con Sentry. Ya sea que estés ejecutando un proyecto de React, Angular, Vue, o simplemente JavaScript “vainilla”, mira cómo Sentry puede ayudarte a encontrar el quién, qué, cuándo y dónde detrás de los errores en tu proyecto frontend.
Nivel de la masterclass: Intermedio

react testing angular vue

Pruebas de Aplicaciones Web utilizando Cypress

TestJS Summit - January, 2021

173 min

Pruebas de Aplicaciones Web utilizando Cypress

WorkshopFree

Gleb Bahmutov

Este masterclass te enseñará los conceptos básicos de cómo escribir pruebas de extremo a extremo utilizando Cypress Test Runner.
Cubriremos la escritura de pruebas, abarcando todas las características de la aplicación, estructurando las pruebas, interceptando solicitudes de red y configurando los datos del backend.
Cualquier persona que conozca el lenguaje de programación JavaScript y tenga NPM instalado podrá seguir el masterclass.

testing javascript cypress e2e testing