DESCRIPCIÓN
La seguridad de aplicaciones busca detectar y corregir vulnerabilidades en todas las etapas del desarrollo. Las soluciones de Application Security Testing (AST) permiten evaluar el código y el comportamiento de las aplicaciones para asegurar software confiable y alineado con el Secure Development Lifecycle (SDL).
SAST
Nombre completo
Static Application Security Testing (Pruebas de Seguridad de Aplicaciones Estáticas)
¿Qué hace?
Analiza el código fuente (o binarios) sin ejecutar la aplicación. Identifica vulnerabilidades de seguridad y fallos de codificación en una etapa temprana del ciclo de desarrollo.
¿Cuándo se usa?
Durante el desarrollo (IDE, commits, integración continua), antes de la compilación o despliegue.
DAST
Nombre completo
Dynamic Application Security Testing (Pruebas de Seguridad de Aplicaciones Dinámicas)
¿Qué hace?
Analiza la aplicación en ejecución simulando ataques desde el exterior (como un hacker). Identifica vulnerabilidades explotables desde la interfaz o URL, como Inyección SQL o XSS.
¿Cuándo se usa?
En entornos de prueba (QA) o producción, cuando la aplicación está desplegada y accesible.
IAST
Nombre completo
Interactive Application Security Testing (Pruebas de Seguridad de Aplicaciones Interactivas)
¿Qué hace?
Combina elementos de SAST y DAST, ejecutándose dentro de la aplicación en tiempo real. Observa el flujo de datos y la ejecución del código para identificar vulnerabilidades con alta precisión y bajo falso positivo.
¿Cuándo se usa?
Durante las pruebas funcionales o pruebas de control de calidad (QA), ya que requiere que la aplicación esté en ejecución.
SCA
Nombre completo
Software Composition Analysis (Análisis de Composición de Software)
¿Qué hace?
Analiza el uso de componentes de código abierto y librerías de terceros de la aplicación. Identifica vulnerabilidades conocidas (CVEs) y problemas de licenciamiento en esas dependencias.
¿Cuándo se usa?
Durante todo el ciclo de desarrollo (desde el inicio), especialmente antes de la integración continua.
