Pruebas de seguridad para aplicaciones respaldadas por GraphQL

Hola a todos, Node Congress. Soy Ryan Severance, uno de los fundadores de StackHawk. En StackHawk, es fácil para los desarrolladores encontrar, triar y solucionar errores de seguridad de aplicaciones. Hoy les contaré un poco más sobre lo que hacemos. Entonces, StackHawk en pocas palabras, hacemos pruebas de seguridad de aplicaciones y API. Estamos diseñados para la automatización en CI/CD. En última instancia, facilitamos mucho encontrar y solucionar cualquier vulnerabilidad de seguridad de aplicaciones. Supongamos que están desarrollando una nueva función y su equipo está trabajando en ella. Y alguien introduce un nuevo punto final que tal vez tenga una vulnerabilidad de inyección SQL, exponiendo datos sensibles delbackend que un atacante malintencionado podría acceder. Tradicionalmente, esto podría no descubrirse hasta semanas o meses después, tal vez en una prueba de penetración o una revisión del equipo de seguridad. Con StackHawk, cuando abres la solicitud de extracción o incluso en la confirmación, según cómo lo tengas configurado en CI/CD, se ejecutará un escaneo. Es una prueba contra la aplicación y busca cualquier tipo de estas vulnerabilidades. Te notificaría que se ha encontrado una vulnerabilidad de inyección SQL. Y luego le proporciona al equipo toda la información para que puedan solucionarlo. Así que encuentras errores temprano y es muy fácil solucionarlos. Permíteme contarte un poco cómo funciona detrás de escena. Estamos construidos sobre un escáner de código abierto. Se llama ZAP, Z-A proxy.org. Es un estándar de la industria en términos de una de las mejores herramientas de pruebas de seguridad de aplicaciones dinámicas. Lo hacemos muy fácil de configurar y ejecutar en cualquier lugar, lo hacemos simple de automatizar. Con StackHawk, puedes escanear aplicaciones modernas, aplicaciones de servidor HTML, aplicaciones de una sola página, API REST, GraphQL, y en última instancia, es simplemente una prueba automatizada de seguridad de aplicaciones muy rápida. Entonces, supongamos que se ejecuta la prueba, tal vez te notifiquen de una compilación fallida que se ha introducido una nueva vulnerabilidad. Puedes ingresar a la aplicación web de StackHawk y tendrás la solicitud que se envió a la aplicación, la respuesta que se devolvió con un resaltado de la evidencia que muestra que es una vulnerabilidad. Hay un botón de validación en el que puedes hacer clic para recrear esa misma solicitud y recorrer el código en modo de debug para averiguar dónde estás manejando incorrectamente la información y, en última instancia, llegar a una solución rápidamente. También tenemos descripciones generales de cuál es el error, documentación sobre cómo solucionarlo. También hay funciones de triaje. Entonces, supongamos que te notifican algo, pero es de bajo riesgo y no debería bloquear el envío a producción. Puedes marcarlo como aceptado o tal vez ponerlo en tu lista de tareas de JIRA, y el escáner respeta eso. Entonces, la próxima vez que se ejecute, solo buscará vulnerabilidades recién introducidas. Stackhawk se integra fácilmente con el resto de tu pila de ingeniería. Creemos firmemente en integrarnos en los flujos de trabajo de desarrollo modernos y hacer que la seguridad sea fácil de abordar para los equipos de ingeniería. Esa es una descripción general rápida de Stackhawk. Nos encantaría que nos visiten. Pasen por el sitio web, regístrense para obtener una cuenta gratuita y asegúrense de ver el sorteo que tenemos en marcha para Node Congress. Todos recibirán una camiseta y también participarán en el sorteo de una Nintendo Switch. Eso es todo. Muchas gracias. Adiós. tú