Seguridad de aplicaciones
DAST (Pruebas dinámicas de seguridad de aplicaciones)
También conocido como: Análisis dinámico, Pruebas de seguridad de caja negra
Definición
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
Ejemplos
- Ejecutar un escaneo automatizado de OWASP ZAP contra una API en staging como job de CI.
- Realizar un escaneo con Burp Suite con sesión autenticada contra una SPA.
Términos relacionados
SAST (Pruebas estáticas de seguridad de aplicaciones)
Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.
IAST (Pruebas interactivas de seguridad de aplicaciones)
Pruebas de seguridad que instrumentan la aplicación desde dentro para observar la ejecución del código mientras es ejercitada por tráfico o tests.
RASP (Autoprotección de aplicaciones en tiempo de ejecución)
Defensa integrada dentro de una aplicación en ejecución que supervisa el contexto y bloquea en tiempo real comportamientos maliciosos como inyección o deserialización insegura.
Fuzz testing
Técnica de pruebas automatizadas que bombardea un programa con grandes cantidades de entrada malformada, aleatoria o inesperada para descubrir caídas, corrupción de memoria y vulnerabilidades.
DevSecOps
Cultura y conjunto de prácticas que integra las responsabilidades de seguridad en los flujos DevOps para entregar software seguro de forma continua y rápida.
OWASP Top 10
OWASP Top 10 — definition coming soon.