Log in
JavaScript Conferences
TestJS Summit - January, 2021TestJS Summit - January, 2021
ES

Pruebas de seguridad para aplicaciones JS

Ryan Severns
Ryan Severns
StackHawk
Rate this content
Bookmark

Con StackHawk, los equipos de ingeniería pueden realizar pruebas de seguridad en aplicaciones JS y las API subyacentes para encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Con pruebas automatizadas en cada PR, puedes estar seguro de que tu aplicación es segura. Únete a Ryan Severns, cofundador de StackHawk, para obtener una breve descripción de las pruebas de seguridad de aplicaciones JS con StackHawk.

This talk has been presented at TestJS Summit - January, 2021, check out the latest edition of this JavaScript Conference.

FAQ

Stackhawk es una herramienta de seguridad de aplicaciones diseñada para ayudar a los desarrolladores a encontrar, clasificar y solucionar errores de seguridad en aplicaciones. Se enfoca en realizar pruebas activas de seguridad en aplicaciones y APIs dinámicas en ejecución.

Stackhawk facilita la integración de pruebas de seguridad en el flujo de trabajo de CI/CD, permitiendo a los desarrolladores encontrar y solucionar vulnerabilidades antes de que el software llegue a producción. Esto ayuda a acortar drasticamente el tiempo para solucionar los problemas.

A diferencia de otras herramientas que solo buscan vulnerabilidades en bibliotecas de código abierto, Stackhawk se enfoca tanto en vulnerabilidades de código abierto explotables como en problemas de seguridad que podrían haber sido introducidos por el propio equipo de desarrollo en la aplicación.

Para realizar un escaneo con Stackhawk, los usuarios deben configurar un archivo YAML y utilizar un escáner basado en Docker. Esto permite ejecutar escaneos en cualquier lugar, ya sea localmente, en CI/CD o en un entorno de producción.

Stackhawk está diseñado para escanear aplicaciones modernas, incluyendo tanto la aplicación principal como las APIs subyacentes. Se integra con especificaciones como OpenAPI y puntos de introspección de GraphQL.

Stackhawk permite revisar detalles de cada hallazgo de seguridad, proporcionando la ruta, la solicitud y la respuesta implicadas. Los usuarios pueden clasificar hallazgos, marcándolos como aceptados con riesgo, o enviarlos a herramientas como Jira para su tratamiento posterior.

Stackhawk ofrece integraciones extensivas para facilitar la combinación con el resto de la pila de ingeniería del usuario, aunque los detalles específicos de las integraciones disponibles no se especifican en el texto.

Las personas interesadas en usar Stackhawk pueden registrarse para obtener una cuenta gratuita en stackhawk.com y consultar la documentación disponible en docs.stackhawk.com para más información sobre cómo configurar y comenzar a usar la herramienta.

testingsecurity testing
Ryan Severns
Ryan Severns
5 min
15 Jun, 2021

Comments

Sign in or register to post your comment.

Video Summary and Transcription

Stackhawk es una herramienta de seguridad de aplicaciones que se centra en las pruebas de seguridad dinámicas de aplicaciones y API. Está construida sobre el proyecto de código abierto ZAP y diseñada para la automatización en CICD. Stackhawk proporciona un conjunto completo de herramientas para las pruebas de seguridad de aplicaciones y la corrección de errores, incluyendo la visualización de hallazgos, la recreación de solicitudes y la solución fácil de vulnerabilidades. Permite la clasificación de hallazgos e integración con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.
Available in English: Security Testing for JS Apps

1. Introducción a Stackhawk

Short description:

Stackhawk es una herramienta de seguridad de aplicaciones construida para encontrar, clasificar y solucionar errores de seguridad de aplicaciones. Se enfoca en pruebas de seguridad dinámicas de aplicaciones y APIs, buscando vulnerabilidades explotables de código abierto y vulnerabilidades introducidas por la aplicación. Stackhawk se basa en el proyecto de código abierto ZAP y está diseñado para la automatización en CICD. Te permite escanear tu aplicación utilizando un archivo de configuración YAML y un escáner Docker. Los escaneos se pueden ejecutar en cualquier lugar, incluyendo localmente o en un entorno de producción. Stackhawk es altamente eficiente, proporcionando resultados rápidamente, y te permite clasificar y solucionar cualquier hallazgo.

Hola, TestJS. Mi nombre es Ryan Severance. Soy uno de los fundadores de Stackhawk. Somos una herramienta de seguridad de aplicaciones construida para facilitar a los desarrolladores encontrar, clasificar, y solucionar errores de seguridad de aplicaciones.

Creamos esta empresa porque sabemos que el software se está enviando a producción más rápido que nunca, y las herramientas de seguridad de aplicaciones deben poder mantenerse al día con el ritmo del desarrollo de software moderno. Así que déjame contarte un poco sobre Stackhawk.

Stackhawk es una herramienta de pruebas de seguridad de aplicaciones y APIs dinámicas. Por lo tanto, realizamos pruebas activas de seguridad en tu aplicación en ejecución. Es posible que estés familiarizado con herramientas que buscan vulnerabilidades de código abierto. Vulnerabilidades en las bibliotecas de código abierto que estás utilizando. Somos grandes fanáticos de esas herramientas. Eso es un poco diferente a lo que hacemos nosotros. Nos enfocamos en la aplicación. Por lo tanto, encontramos cualquier vulnerabilidad de código abierto explotable, y también encontramos cualquier cosa que tú o tu equipo hayan agregado a la aplicación que esté creando una vulnerabilidad. Estamos construidos sobre el proyecto de código abierto ZAP. Y en última instancia, estamos construidos para la automatización en CICD.

Así que creemos firmemente en ejecutar una prueba de seguridad en el flujo de trabajo, encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Y hacemos que eso sea realmente sencillo. Así es como funciona. Comienzas escaneando tu aplicación. Tienes un archivo de configuración basado en YAML y un escáner basado en Docker. Te permite ejecutar los escaneos en cualquier lugar. Puedes ejecutarlo localmente, ejecutarlo en CICD, puedes apuntarlo a tu entorno de producción y ejecutar el escaneo. Y rastrea la aplicación. Importamos la especificación OpenAPI, el punto de introspección de GraphQL. En última instancia, estamos construidos para escanear aplicaciones modernas y abarcar tanto la aplicación como las APIs subyacentes. Y en última instancia, estamos muy enfocados en la performance de las pruebas de aplicaciones técnicas. Entonces, si has utilizado alguna de estas herramientas en el pasado, algunas de las herramientas heredadas, los tiempos de escaneo se miden en horas, no en minutos. Y creemos firmemente en ser muy eficientes. Luego, una vez que hayas ejecutado un escaneo, revisa cualquier hallazgo y clasifica y soluciona esos hallazgos.

2. Funciones y Integración de Stackhawk

Short description:

Stackhawk ofrece un conjunto completo de herramientas para pruebas de seguridad de aplicaciones y corrección de errores. Ofrece funciones como ver hallazgos, recrear solicitudes y solucionar vulnerabilidades fácilmente. Stackhawk también permite clasificar los hallazgos e integrarse con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.

Cuando revisas un hallazgo, muestra la ruta en la que se encontró, puedes ver la solicitud que se envió a la aplicación y la respuesta que se obtuvo, lo que proporciona evidencia del hallazgo.

Tenemos un botón para crear un comando curl y recrear esa misma solicitud. Esto facilita mucho el proceso de revisar el código, identificar dónde puede haber un manejo incorrecto y acorta drásticamente el tiempo para solucionar los problemas.

Muchos de los hallazgos de seguridad en las aplicaciones no son tan difíciles de solucionar. Solo se trata de saber dónde están y tener las herramientas necesarias para solucionarlos. También tenemos documentación de corrección vinculada en la aplicación. Lo hacemos muy fácil si hay un hallazgo para solucionarlo y volver a trabajar en las características en las que estás trabajando.

También tenemos una función de clasificación para que puedas marcar un hallazgo como aceptado con riesgo, echar un vistazo, simplemente no es algo que valga la pena solucionar. O tal vez lo hayas enviado a Jira, se ha priorizado con tu otro trabajo de ingeniería. El escáner seguirá encontrándolo, pero no romperá la compilación, no será ruidoso. Te permite gestionar cómo quieres lidiar con los hallazgos de seguridad que aparecen.

Y en última instancia, creemos firmemente en facilitar la integración con el resto de tu pila de ingeniería. Por lo tanto, tenemos muchas integraciones y lo hacemos simple.

Así que eso es Stackhawk en pocas palabras, nos encantaría que nos visitaras. Puedes registrarte para obtener una cuenta gratuita en stackhawk.com, puedes consultar nuestra documentación para obtener un poco más de información, eso es docs.stackhawk.com. Y no dudes en contactarnos si tienes alguna pregunta. ¡Muchas gracias!

Available in other languages:

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Solicitudes de Red con Cypress
TestJS Summit 2021TestJS Summit 2021
33 min
Solicitudes de Red con Cypress
Top Content
Cecelia Martinez
Cecelia Martinez
Ionic
Cecilia Martinez, a technical account manager at Cypress, discusses network requests in Cypress and demonstrates commands like cydot request and SCI.INTERCEPT. She also explains dynamic matching and aliasing, network stubbing, and the pros and cons of using real server responses versus stubbing. The talk covers logging request responses, testing front-end and backend API, handling list length and DOM traversal, lazy loading, and provides resources for beginners to learn Cypress.
testingcypress
Testing Pyramid Makes Little Sense, What We Can Use Instead
TestJS Summit 2021TestJS Summit 2021
38 min
Testing Pyramid Makes Little Sense, What We Can Use Instead
Top Content
Featured Video
Gleb Bahmutov
Roman Sandler
2 authors
The testing pyramid - the canonical shape of tests that defined what types of tests we need to write to make sure the app works - is ... obsolete. In this presentation, Roman Sandler and Gleb Bahmutov argue what the testing shape works better for today's web applications.
testing
Pruebas de ciclo completo con Cypress
TestJS Summit 2022TestJS Summit 2022
27 min
Pruebas de ciclo completo con Cypress
Top Content
Filip Hric
Filip Hric
Replay.io
Cypress is a powerful tool for end-to-end testing and API testing. It provides instant feedback on test errors and allows tests to be run inside the browser. Cypress enables testing at both the application and network layers, making it easier to reach different edge cases. With features like AppActions and component testing, Cypress allows for comprehensive testing of individual components and the entire application. Join the workshops to learn more about full circle testing with Cypress.
testingcypresse2e testing
Desarrollo Efectivo de Pruebas
TestJS Summit 2021TestJS Summit 2021
31 min
Desarrollo Efectivo de Pruebas
Top Content
Shai Reznik
Shai Reznik
HiRez.io
This Talk introduces Test Effective Development, a new approach to testing that aims to make companies more cost-effective. The speaker shares their personal journey of improving code quality and reducing bugs through smarter testing strategies. They discuss the importance of finding a balance between testing confidence and efficiency and introduce the concepts of isolated and integrated testing. The speaker also suggests different testing strategies based on the size of the application and emphasizes the need to choose cost-effective testing approaches based on the specific project requirements.
testingunit testing
Playwright Test Runner
TestJS Summit 2021TestJS Summit 2021
25 min
Playwright Test Runner
Top Content
Andrey Lushnikov
Andrey Lushnikov
Microsoft
The Playwright Test Runner is a cross-browser web testing framework that allows you to write tests using just a few lines of code. It supports features like parallel test execution, device emulation, and different reporters for customized output. Code-Gen is a new feature that generates code to interact with web pages. Playwright Tracing provides a powerful tool for debugging and analyzing test actions, with the ability to explore trace files using TraceViewer. Overall, Playwright Test offers installation, test authoring, debugging, and post-mortem debugging capabilities.
testing
Todos pueden escribir pruebas fácilmente
TestJS Summit 2023TestJS Summit 2023
21 min
Todos pueden escribir pruebas fácilmente
Debbie O'Brien
Debbie O'Brien
Senior Program Manager @ Microsoft, working with Playwright.
Playwright is a reliable end-to-end testing tool for modern web apps that provides one API, full isolation, fast execution, and supports multiple languages. It offers features like auto-weighting, retrying assertions, seamless testing of iframes and shadow DOM, test isolation, parallelism, and scalability. Playwright provides tools like VS Code extension, UiMode, and Trace Viewer for writing, debugging, and running tests. Effective tests prioritize user-facing attributes, use playwright locators and assertions, and avoid testing third-party dependencies. Playwright simplifies testing by generating tests, providing code generation and UI mode, and allows for easy running and debugging of tests. It helps in fixing failed tests and analyzing DOM changes, fixing locator mismatches, and scaling tests. Playwright is open source, free, and continuously growing.
testinge2e testing

Workshops on related topic

Diseñando Pruebas Efectivas con la Biblioteca de Pruebas de React
React Summit 2023React Summit 2023
151 min
Diseñando Pruebas Efectivas con la Biblioteca de Pruebas de React
Top Content
Featured Workshop
Josh Justice
Josh Justice
La Biblioteca de Pruebas de React es un gran marco para las pruebas de componentes de React porque responde muchas preguntas por ti, por lo que no necesitas preocuparte por esas preguntas. Pero eso no significa que las pruebas sean fáciles. Todavía hay muchas preguntas que tienes que resolver por ti mismo: ¿Cuántas pruebas de componentes debes escribir vs pruebas de extremo a extremo o pruebas de unidad de nivel inferior? ¿Cómo puedes probar una cierta línea de código que es difícil de probar? ¿Y qué se supone que debes hacer con esa persistente advertencia de act()?
En esta masterclass de tres horas, presentaremos la Biblioteca de Pruebas de React junto con un modelo mental de cómo pensar en el diseño de tus pruebas de componentes. Este modelo mental te ayudará a ver cómo probar cada bit de lógica, si debes o no simular dependencias, y ayudará a mejorar el diseño de tus componentes. Te irás con las herramientas, técnicas y principios que necesitas para implementar pruebas de componentes de bajo costo y alto valor.
Tabla de contenidos- Los diferentes tipos de pruebas de aplicaciones de React, y dónde encajan las pruebas de componentes- Un modelo mental para pensar en las entradas y salidas de los componentes que pruebas- Opciones para seleccionar elementos DOM para verificar e interactuar con ellos- El valor de los mocks y por qué no deben evitarse- Los desafíos con la asincronía en las pruebas de RTL y cómo manejarlos
Requisitos previos- Familiaridad con la construcción de aplicaciones con React- Experiencia básica escribiendo pruebas automatizadas con Jest u otro marco de pruebas unitarias- No necesitas ninguna experiencia con la Biblioteca de Pruebas de React- Configuración de la máquina: Node LTS, Yarn
reacttestingbest practicesdeep divereact testingreact testing librarytest driven development react
Cómo empezar con Cypress
TestJS Summit 2022TestJS Summit 2022
146 min
Cómo empezar con Cypress
Featured WorkshopFree
Filip Hric
Filip Hric
La web ha evolucionado. Finalmente, también lo ha hecho el testing. Cypress es una herramienta de testing moderna que responde a las necesidades de testing de las aplicaciones web modernas. Ha ganado mucha popularidad en los últimos años, obteniendo reconocimiento a nivel mundial. Si has estado esperando aprender Cypress, ¡no esperes más! Filip Hric te guiará a través de los primeros pasos sobre cómo empezar a usar Cypress y configurar tu propio proyecto. La buena noticia es que aprender Cypress es increíblemente fácil. Escribirás tu primer test en poco tiempo y luego descubrirás cómo escribir un test de extremo a extremo completo para una aplicación web moderna. Aprenderás conceptos fundamentales como la capacidad de reintentar. Descubre cómo trabajar e interactuar con tu aplicación y aprende cómo combinar pruebas de API y de UI. A lo largo de todo este masterclass, escribiremos código y realizaremos ejercicios prácticos. Saldrás con una experiencia práctica que podrás aplicar a tu propio proyecto.
testingcypress
Detox 101: Cómo escribir pruebas de extremo a extremo estables para su aplicación React Native
React Summit 2022React Summit 2022
117 min
Detox 101: Cómo escribir pruebas de extremo a extremo estables para su aplicación React Native
Top Content
WorkshopFree
Yevheniia Hlovatska
Yevheniia Hlovatska
A diferencia de las pruebas unitarias, las pruebas de extremo a extremo buscan interactuar con su aplicación tal como lo haría un usuario real. Y como todos sabemos, puede ser bastante desafiante. Especialmente cuando hablamos de aplicaciones móviles.
Las pruebas dependen de muchas condiciones y se consideran lentas e inestables. Por otro lado, las pruebas de extremo a extremo pueden dar la mayor confianza de que su aplicación está funcionando. Y si se hace correctamente, puede convertirse en una herramienta increíble para aumentar la velocidad del desarrollador.
Detox es un marco de pruebas de extremo a extremo en caja gris para aplicaciones móviles. Desarrollado por Wix para resolver el problema de la lentitud e inestabilidad y utilizado por React Native en sí como su herramienta de pruebas E2E.
Únete a mí en esta masterclass para aprender cómo hacer que tus pruebas de extremo a extremo móviles con Detox sean excelentes.
Prerrequisitos- iOS/Android: MacOS Catalina o más reciente- Solo Android: Linux- Instalar antes de la masterclass
testingreact nativee2e testingbeginner friendlyreact native accessibilityreact native detoxreact native test automationreact native testing
Masterclass de Pruebas de API con Postman
TestJS Summit 2023TestJS Summit 2023
48 min
Masterclass de Pruebas de API con Postman
Top Content
WorkshopFree
Pooja Mistry
Pooja Mistry
En el panorama siempre en evolución del desarrollo de software, garantizar la fiabilidad y funcionalidad de las API se ha vuelto primordial. "Pruebas de API con Postman" es una masterclass completa diseñada para equipar a los participantes con los conocimientos y habilidades necesarios para sobresalir en las pruebas de API utilizando Postman, una herramienta poderosa ampliamente adoptada por profesionales en el campo. Esta masterclass profundiza en los fundamentos de las pruebas de API, avanza a técnicas de prueba avanzadas y explora la automatización, las pruebas de rendimiento y el soporte multiprotocolo, proporcionando a los asistentes una comprensión holística de las pruebas de API con Postman.
Únete a nosotros para esta masterclass para desbloquear todo el potencial de Postman para las pruebas de API, agilizar tus procesos de prueba y mejorar la calidad y fiabilidad de tu software. Ya seas un principiante o un probador experimentado, esta masterclass te equipará con las habilidades necesarias para sobresalir en las pruebas de API con Postman.
testingsecurity testing
Monitoreo 101 para Desarrolladores de React
React Summit US 2023React Summit US 2023
107 min
Monitoreo 101 para Desarrolladores de React
Top Content
WorkshopFree
Lazar Nikolov
Sarah Guthals
2 authors
Si encontrar errores en tu proyecto frontend es como buscar una aguja en un pajar de código, entonces el monitoreo de errores de Sentry puede ser tu detector de metales. Aprende los conceptos básicos del monitoreo de errores con Sentry. Ya sea que estés ejecutando un proyecto de React, Angular, Vue, o simplemente JavaScript “vainilla”, mira cómo Sentry puede ayudarte a encontrar el quién, qué, cuándo y dónde detrás de los errores en tu proyecto frontend.
Nivel de la masterclass: Intermedio
reacttestingangularvue
Pruebas de Aplicaciones Web utilizando Cypress
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Pruebas de Aplicaciones Web utilizando Cypress
WorkshopFree
Gleb Bahmutov
Gleb Bahmutov
Este masterclass te enseñará los conceptos básicos de cómo escribir pruebas de extremo a extremo utilizando Cypress Test Runner.
Cubriremos la escritura de pruebas, abarcando todas las características de la aplicación, estructurando las pruebas, interceptando solicitudes de red y configurando los datos del backend.
Cualquier persona que conozca el lenguaje de programación JavaScript y tenga NPM instalado podrá seguir el masterclass.
testingjavascriptcypresse2e testing