Red Seguridad 094

60 red seguridad tercer trimestre 2021 opinión Cada vez es más importante encontrar herramientas eficaces que permitan un control férreo de la seguridad a la hora de publicar aplicaciones de software . No en vano, la transformación digital ha im- pulsado un crecimiento exponencial en cuanto al número de aplicaciones que salen al mercado, así como en la cons- tante actualización de estas. Muchas de estas aplicaciones tienen re- quisitos altos de seguridad, ya sea porque manejan datos personales, soporten casos de uso financieros o porque la empresa de- penda de las aplicaciones para operar al día. Hasta ahora, el estándar para verificar y mejorar la seguridad de las aplicaciones ha sido el uso de herramientas de análisis estático (SAST), scanners de vulnerabilida- des (DAST) o revisiones manuales de las aplicaciones como pentesting . Sin embar- go, la aparición de nuevas tecnologías de despliegue como containers o microservi- cios, así como metodologías de desarrollo ágiles como DevOps, obligan a un nuevo enfoque de seguridad que opere al ritmo de los equipos de desarrollo y cumpla los objetivos de negocio. La metodología DevSecOps es uno de los enfoques más conocidos para resol- ver este dilema y para mantener la velo- cidad de desarrollo sin comprometer la seguridad. A grandes rasgos, la idea de- trás de DevSecOps es la automatización de la seguridad y la incorporación de actividades de seguridad durante todo el ciclo de vida de las aplicaciones. Tecnología IAST Las soluciones tradicionales como el análisis estático SAST o el análisis di- námico DAST disfrutan de una gran aceptación, pero no son capaces de dar respuesta a estos nuevos retos. El análi- sis estático es lento y tiende a producir falsos positivos. El análisis dinámico a través de scanners web suele omitir mu- chos tipos de riesgos y solo es útil en las fases finales del ciclo de vida. Para cubrir la brecha que dejan estas soluciones, la industria de la seguridad de las aplicaciones ha evolucionado hacia la tecnología interactiva IAST ( In- teractive Application Security Testing ), un nuevo paradigma en la seguridad de las aplicaciones. De hecho, Gartner ya reconoce que “IAST supera los proble- mas que ocurren cuando SAST o DAST se ejecutan solos” 1 . La tecnología IAST combina lo mejor del enfoque estático y del enfoque di- námico. Al trabajar con la aplicación en funcionamiento, como un DAST, observa IAST: La solución para conseguir DevSecOps D aniel B lázquez Product Marketing Manager de Hdiv Security Fuente: National Institute of Standards and Technology.