Escaneo estático aprobado por CASA

App Defense Alliance (ADA) ha añadido la aplicación CLI de Fluid Attacks como herramienta aprobada para las pruebas de seguridad de aplicaciones (AST por sus siglas en inglés). ADA es una asociación entre Google y colaboradores, formada para garantizar que las aplicaciones de Android sean seguras para los usuarios. Nuestra herramienta de código abierto es de uso gratuito para el análisis estático y ha sido aceptada oficialmente para validar los requisitos de nivel 2 bajo el marco de Cloud Application Security Assessment (CASA) de ADA.

ADA surgió en 2019. Sus miembros son Google, ESET, Lookout, Zimperium y, más recientemente, McAfee y Trend Micro. Esta alianza se compromete a garantizar que las aplicaciones disponibles en Google Play no estén plagadas de vulnerabilidades.

Para cumplir su propósito, ADA exige a los desarrolladores verificar que sus aplicaciones cumplan las normas de industria en cuanto a seguridad de las aplicaciones. En el caso de las aplicaciones móviles, ADA puso en marcha el marco Mobile Application Security Assessment (MASA), mientras que para las aplicaciones en la nube, estableció el marco Cloud Application Security Assessment (CASA).

El marco MASA valida que las aplicaciones cuenten con los controles de seguridad definidos en el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, por sus siglas en inglés) de OWASP. (Por cierto, hemos listado en otro artículo los principales riesgos para las aplicaciones móviles y definido el papel de las pruebas de seguridad de aplicaciones móviles (MAST), que, si realizas con nosotros, pueden comprobar si cumples con MASVS y otras guías internacionales.)

ADA creó CASA como una iniciativa para que las aplicaciones Android cumplan con los controles propuestos por el Estándar de Verificación de Seguridad de Aplicaciones de OWASP (ASVS, por sus siglas en inglés). Su principal objetivo con este proyecto es permitir integraciones seguras entre nubes y potenciar su extensibilidad e inclusividad.

Los usuarios del marco, como Google, piden a los desarrolladores que verifiquen el cumplimiento de los estándares de CASA. Son los primeros, no los desarrolladores, quienes determinan el nivel. Por supuesto que los desarrolladores pueden optar por iniciar la evaluación sin haber sido contactados, pero solo superando la evaluación del nivel 3 obtendrían una verificación válida de CASA. Este nivel requiere que los desarrolladores elijan y paguen a un evaluador autorizado para que compruebe la seguridad de la aplicación.

Los equipos que necesiten evaluaciones de nivel 1 y 2 pueden utilizar las herramientas de análisis recomendadas por CASA para comprobar si sus aplicaciones presentan vulnerabilidades comunes. ¡Es sobre esto que te tenemos noticias!

Nosotros figuramos en la lista de procedimientos de escaneo estático. Puedes utilizar nuestra aplicación CLI de código abierto aprobada por CASA sin costo alguno para realizar pruebas de seguridad de aplicaciones estáticas (SAST).

Machine de Fluid Attacks es nuestra aplicación CLI que los desarrolladores pueden configurar para ejecutar análisis de código fuente y evaluar aplicaciones web y otras superficies de ataque. Esta aplicación realiza escaneo de vulnerabilidades y reporta los nombres de las vulnerabilidades identificadas (de acuerdo con el conjunto estandarizado de Fluid Attacks) junto con sus IDs del CWE y su ubicación en el código fuente. Para aprender a configurar y utilizar nuestra herramienta CLI como escáner de vulnerabilidades, sigue nuestra guía.

Si un usuario del marco CASA te pide pasar el nivel de seguridad 2, asegúrate de seguir el proceso descrito por ADA. Utiliza Machine para escanear tu aplicación tal y como muestra su página web.

Se te pedirá validar tu solicitud una vez al año, pero recuerda que durante ese tiempo la seguridad sigue siendo un tema de preocupación. Tienes que pensar en eso siempre, con cada cambio en tu aplicación. Realizando pruebas de seguridad constantemente, puedes ser consciente de las vulnerabilidades más comunes y solucionarlas. Podemos ayudarte con esto.

Ofrecemos Hacking Continuo, que consiste en realizar pruebas de seguridad de aplicaciones a lo largo del ciclo de vida de desarrollo de tu software (SDLC). Configuramos Machine para detectar las vulnerabilidades de tu aplicación con precisión. Puedes ver cada hallazgo y detalles diversos, incluyendo recomendaciones para solucionar los problemas de seguridad, en nuestra plataforma. Ahí también puedes contactarnos para obtener apoyo a través de chat.

Puedes elegir entre dos planes pagos: plan Essential y plan Advanced. Plan Essential ofrece continuas pruebas de seguridad de aplicaciones estáticas (SAST), pruebas de seguridad de aplicaciones dinámicas (DAST) y análisis de composición de software (SCA) solo con nuestra herramienta de escaneo. plan Advanced incluye priorización con IA y pruebas de penetración manuales continuas. Nuestro equipo de hacking encuentra las vulnerabilidades que representan un mayor riesgo para las aplicaciones. Por eso te recomendamos que vayas más allá de la automatización y apuestes por las pruebas de seguridad realizadas a través de la perspectiva de los atacantes.

Si quieres probar nuestras soluciones, inicia tu prueba gratuita de 21 días con plan Essential y pásate a plan Advanced cuando quieras.