Video Summary and Transcription
Stackhawk es una herramienta de seguridad de aplicaciones que se centra en las pruebas de seguridad dinámicas de aplicaciones y API. Está construida sobre el proyecto de código abierto ZAP y diseñada para la automatización en CICD. Stackhawk proporciona un conjunto completo de herramientas para las pruebas de seguridad de aplicaciones y la corrección de errores, incluyendo la visualización de hallazgos, la recreación de solicitudes y la solución fácil de vulnerabilidades. Permite la clasificación de hallazgos e integración con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.
1. Introducción a Stackhawk
Stackhawk es una herramienta de seguridad de aplicaciones construida para encontrar, clasificar y solucionar errores de seguridad de aplicaciones. Se enfoca en pruebas de seguridad dinámicas de aplicaciones y APIs, buscando vulnerabilidades explotables de código abierto y vulnerabilidades introducidas por la aplicación. Stackhawk se basa en el proyecto de código abierto ZAP y está diseñado para la automatización en CICD. Te permite escanear tu aplicación utilizando un archivo de configuración YAML y un escáner Docker. Los escaneos se pueden ejecutar en cualquier lugar, incluyendo localmente o en un entorno de producción. Stackhawk es altamente eficiente, proporcionando resultados rápidamente, y te permite clasificar y solucionar cualquier hallazgo.
Hola, TestJS. Mi nombre es Ryan Severance. Soy uno de los fundadores de Stackhawk. Somos una herramienta de seguridad de aplicaciones construida para facilitar a los desarrolladores encontrar, clasificar, y solucionar errores de seguridad de aplicaciones.
Creamos esta empresa porque sabemos que el software se está enviando a producción más rápido que nunca, y las herramientas de seguridad de aplicaciones deben poder mantenerse al día con el ritmo del desarrollo de software moderno. Así que déjame contarte un poco sobre Stackhawk.
Stackhawk es una herramienta de pruebas de seguridad de aplicaciones y APIs dinámicas. Por lo tanto, realizamos pruebas activas de seguridad en tu aplicación en ejecución. Es posible que estés familiarizado con herramientas que buscan vulnerabilidades de código abierto. Vulnerabilidades en las bibliotecas de código abierto que estás utilizando. Somos grandes fanáticos de esas herramientas. Eso es un poco diferente a lo que hacemos nosotros. Nos enfocamos en la aplicación. Por lo tanto, encontramos cualquier vulnerabilidad de código abierto explotable, y también encontramos cualquier cosa que tú o tu equipo hayan agregado a la aplicación que esté creando una vulnerabilidad. Estamos construidos sobre el proyecto de código abierto ZAP. Y en última instancia, estamos construidos para la automatización en CICD.
Así que creemos firmemente en ejecutar una prueba de seguridad en el flujo de trabajo, encontrar y solucionar vulnerabilidades antes de que lleguen a producción. Y hacemos que eso sea realmente sencillo. Así es como funciona. Comienzas escaneando tu aplicación. Tienes un archivo de configuración basado en YAML y un escáner basado en Docker. Te permite ejecutar los escaneos en cualquier lugar. Puedes ejecutarlo localmente, ejecutarlo en CICD, puedes apuntarlo a tu entorno de producción y ejecutar el escaneo. Y rastrea la aplicación. Importamos la especificación OpenAPI, el punto de introspección de GraphQL. En última instancia, estamos construidos para escanear aplicaciones modernas y abarcar tanto la aplicación como las APIs subyacentes. Y en última instancia, estamos muy enfocados en la performance de las pruebas de aplicaciones técnicas. Entonces, si has utilizado alguna de estas herramientas en el pasado, algunas de las herramientas heredadas, los tiempos de escaneo se miden en horas, no en minutos. Y creemos firmemente en ser muy eficientes. Luego, una vez que hayas ejecutado un escaneo, revisa cualquier hallazgo y clasifica y soluciona esos hallazgos.
2. Funciones y Integración de Stackhawk
Stackhawk ofrece un conjunto completo de herramientas para pruebas de seguridad de aplicaciones y corrección de errores. Ofrece funciones como ver hallazgos, recrear solicitudes y solucionar vulnerabilidades fácilmente. Stackhawk también permite clasificar los hallazgos e integrarse con otras pilas de ingeniería. Visita stackhawk.com para registrarte en una cuenta gratuita y obtener más información en docs.stackhawk.com.
Cuando revisas un hallazgo, muestra la ruta en la que se encontró, puedes ver la solicitud que se envió a la aplicación y la respuesta que se obtuvo, lo que proporciona evidencia del hallazgo.
Tenemos un botón para crear un comando curl y recrear esa misma solicitud. Esto facilita mucho el proceso de revisar el código, identificar dónde puede haber un manejo incorrecto y acorta drásticamente el tiempo para solucionar los problemas.
Muchos de los hallazgos de seguridad en las aplicaciones no son tan difíciles de solucionar. Solo se trata de saber dónde están y tener las herramientas necesarias para solucionarlos. También tenemos documentación de corrección vinculada en la aplicación. Lo hacemos muy fácil si hay un hallazgo para solucionarlo y volver a trabajar en las características en las que estás trabajando.
También tenemos una función de clasificación para que puedas marcar un hallazgo como aceptado con riesgo, echar un vistazo, simplemente no es algo que valga la pena solucionar. O tal vez lo hayas enviado a Jira, se ha priorizado con tu otro trabajo de ingeniería. El escáner seguirá encontrándolo, pero no romperá la compilación, no será ruidoso. Te permite gestionar cómo quieres lidiar con los hallazgos de seguridad que aparecen.
Y en última instancia, creemos firmemente en facilitar la integración con el resto de tu pila de ingeniería. Por lo tanto, tenemos muchas integraciones y lo hacemos simple.
Así que eso es Stackhawk en pocas palabras, nos encantaría que nos visitaras. Puedes registrarte para obtener una cuenta gratuita en stackhawk.com, puedes consultar nuestra documentación para obtener un poco más de información, eso es docs.stackhawk.com. Y no dudes en contactarnos si tienes alguna pregunta. ¡Muchas gracias!
Comments