pruebas de seguridad en Todo el Ciclo de Vida del Software
La integración de pruebas de seguridad en todas las etapas del ciclo de vida del software es un pilar fundamental en la protección y fiabilidad de las aplicaciones modernas. En esta charla, exploraremos la importancia de implementar estrategias de pruebas de seguridad desde la concepción hasta el despliegue de un producto, con el objetivo de identificar y abordar proactivamente vulnerabilidades. Vamos a compartir algunos enfoques actuales de las herramientas de punta para fortalecer la postura de seguridad de las organizaciones, mejorar la calidad del software y reducir los riesgos más significativos.
Federico Toledo
Únete a las actividades que realizaremos
Summary of «Security Testing Throughout the Software Lifecycle»
Federico Toledo delivers a talk about Security testing throughout the software development lifecycle. He emphasizes the importance of a holistic view of Quality, where security is a key factor.
Key points include:
- Introduction and presentation: Federico introduces himself, mentioning his experience in testing, his book «Introducción a las pruebas de sistemas de información» (free download), his podcast «Quality Sense Podcast,» and his involvement in organizing events like Quality Sense Conf and the Workshop on Performance and reliability (Whooper).
- Holistic view of quality: The concept of quality as a weighted and subjective sum of factors is discussed, including security, performance, functional suitability, usability, Accessibility, and portability. The need to educate users about the importance of security and the role of testers in advising on risks is emphasized. The ISO 25010 standard model on quality factors and attributes is presented, as well as the classification into functional and non-functional, questioning the latter. It explains how quality factors are interconnected, using examples like the elevator with mirrors and the tension between security and usability. Testers are encouraged to have a basic understanding of security to identify potential problems and collaborate with experts.
- Examples of security problems detectable in functional testing: Examples are mentioned such as using HTTP instead of HTTPS for sensitive data, accessing information from other users, displaying stack traces in errors, sending passwords in plain text by email, and storing sensitive information in logs.
- Security testing in the DevOps cycle: The role of testing in each stage of the DevOps cycle is discussed, with emphasis on the importance of asking security questions in early stages. The concepts of shift-left and shift-right testing, and the test pyramid are mentioned.
- Security testing tools: OWASP ZAP is presented as a tool for vulnerability analysis, both manually (as a proxy) and integrated into automated tests. The importance of continuous integration and the inclusion of security checks in the pipeline is mentioned.
- Shift-right and observability: The concept of observability is introduced as an evolution of monitoring, based on metrics, logs, traces, and events. Tools like Datadog and other APM tools with security functionalities are mentioned, highlighting the advantage of having all the information centralized. A tool that prioritizes security incidents by connecting to other analysis tools is mentioned.
Únete a las actividades que realizaremos
Resumen de «Pruebas de Seguridad en Todo el Ciclo de Vida del Software»
Federico Toledo presenta una charla sobre pruebas de seguridad a lo largo del ciclo de vida del software. Destaca la importancia de una visión holística de la calidad, donde la seguridad es un factor clave.
Los puntos principales son:
- Introducción y presentación: Federico se presenta, mencionando su experiencia en testing, su libro «Introducción a las pruebas de sistemas de información» (de descarga gratuita), su podcast «Quality Sense Podcast» y su participación en la organización de eventos como Quality Sense Conf y el workshop on Performance and Reliability (Whooper).
- Visión holística de la calidad: Se discute el concepto de calidad como una suma ponderada y subjetiva de factores, incluyendo seguridad, performance, adecuación funcional, usabilidad, accesibilidad y portabilidad. Se enfatiza la necesidad de educar a los usuarios sobre la importancia de la seguridad y el rol de los testers en asesorar sobre riesgos. Se presenta el modelo de la norma ISO 25010 sobre factores y atributos de calidad, y la clasificación en funcionales y no funcionales, cuestionando esta última. Se explica cómo los factores de calidad están interrelacionados, usando ejemplos como el del ascensor con espejos y la tensión entre seguridad y usabilidad. Se anima a los testers a tener un entendimiento básico de seguridad para identificar posibles problemas y colaborar con expertos.
- Ejemplos de problemas de seguridad detectables en testing funcional: Se mencionan ejemplos como usar HTTP en lugar de HTTPS para datos sensibles, acceder a información de otros usuarios, mostrar stack traces en errores, enviar contraseñas en texto plano por correo electrónico y guardar información sensible en logs.
- Testing de seguridad en el ciclo de DevOps: Se habla del rol del testing en cada etapa del ciclo de DevOps, con énfasis en la importancia de hacer preguntas sobre seguridad en etapas tempranas. Se mencionan los conceptos de shift-left y shift-right testing, y la pirámide de pruebas.
- Herramientas de testing de seguridad: Se presenta OWASP ZAP como una herramienta para análisis de vulnerabilidades, tanto de forma manual (como proxy) como integrada en pruebas automatizadas. Se menciona la importancia de la integración continua y la inclusión de chequeos de seguridad en el pipeline.
- Shift-right y observabilidad: Se introduce el concepto de observabilidad como una evolución de la monitorización, basada en métricas, logs, trazas y eventos. Se mencionan herramientas como Datadog y otras de APM con funcionalidades de seguridad, destacando la ventaja de tener toda la información centralizada. Se menciona una herramienta que prioriza incidentes de seguridad conectándose a otras herramientas de análisis.
Federico Toledo
Co-fundador y director de calidad Abstracta | Miembro del directorio CUTI | Ingeniero en Calidad