Escaneo estático aprobado por CASA

Nuestro CLI fue aprobado para asegurar apps en la nube

Blog Escaneo estático aprobado por CASA

| 4 min de lectura

Contáctanos

App Defense Alliance (ADA) ha añadido la aplicación CLI de Fluid Attacks como herramienta aprobada para las pruebas de seguridad de aplicaciones (AST por sus siglas en inglés). ADA es una asociación entre Google y colaboradores, formada para garantizar que las aplicaciones de Android sean seguras para los usuarios. Nuestra herramienta de código abierto es de uso gratuito para el análisis estático y ha sido aceptada oficialmente para validar los requisitos de nivel 2 bajo el marco de Cloud Application Security Assessment (CASA) de ADA.

El objetivo de App Defense Alliance

ADA surgió en 2019. Sus miembros son Google, ESET, Lookout, Zimperium y, más recientemente, McAfee y Trend Micro. Esta alianza se compromete a garantizar que las aplicaciones disponibles en Google Play no estén plagadas de vulnerabilidades.

Para cumplir su propósito, ADA exige a los desarrolladores verificar que sus aplicaciones cumplan las normas de industria en cuanto a seguridad de las aplicaciones. En el caso de las aplicaciones móviles, ADA puso en marcha el marco Mobile Application Security Assessment (MASA), mientras que para las aplicaciones en la nube, estableció el marco Cloud Application Security Assessment (CASA).

El marco MASA valida que las aplicaciones cuenten con los controles de seguridad definidos en el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, por sus siglas en inglés) de OWASP. (Por cierto, hemos listado en otro artículo los principales riesgos para las aplicaciones móviles y definido el papel de las pruebas de seguridad de aplicaciones móviles (MAST), que, si realizas con nosotros, pueden comprobar si cumples con MASVS y otras guías internacionales.)

Sin embargo, en este artículo nos centraremos en el marco CASA. Así que vamos a explicarlo con más detalle.

Cloud Application Security Assessment (CASA)

ADA creó CASA como una iniciativa para que las aplicaciones Android cumplan con los controles propuestos por el Estándar de Verificación de Seguridad de Aplicaciones de OWASP (ASVS, por sus siglas en inglés). Su principal objetivo con este proyecto es permitir integraciones seguras entre nubes y potenciar su extensibilidad e inclusividad.

Ahora bien, las aplicaciones varían en aspectos como la sensibilidad de los datos a los que acceden, la cantidad de usuarios por tipo de datos a los que se accede y el nivel de tolerancia al riesgo de la empresa que las desarrolla. Por eso, el marco está diseñado para adoptar un enfoque de varios niveles basado en los riesgos. Dicho en términos simples, los niveles (1, 2 y 3) indican hasta qué punto deben cumplirse estrictamente los requisitos de seguridad.

Los usuarios del marco, como Google, piden a los desarrolladores que verifiquen el cumplimiento de los estándares de CASA. Son los primeros, no los desarrolladores, quienes determinan el nivel. Por supuesto que los desarrolladores pueden optar por iniciar la evaluación sin haber sido contactados, pero solo superando la evaluación del nivel 3 obtendrían una verificación válida de CASA. Este nivel requiere que los desarrolladores elijan y paguen a un evaluador autorizado para que compruebe la seguridad de la aplicación.

Los equipos que necesiten evaluaciones de nivel 1 y 2 pueden utilizar las herramientas de análisis recomendadas por CASA para comprobar si sus aplicaciones presentan vulnerabilidades comunes. ¡Es sobre esto que te tenemos noticias!

Nosotros figuramos en la lista de procedimientos de escaneo estático. Puedes utilizar nuestra aplicación CLI de código abierto aprobada por CASA sin costo alguno para realizar pruebas de seguridad de aplicaciones estáticas (SAST).

Nuestra aplicación CLIpara los escaneos de seguridad

Machine de Fluid Attacks es nuestra aplicación CLI que los desarrolladores pueden configurar para ejecutar análisis de código fuente y evaluar aplicaciones web y otras superficies de ataque. Esta aplicación realiza escaneo de vulnerabilidades y reporta los nombres de las vulnerabilidades identificadas (de acuerdo con el conjunto estandarizado de Fluid Attacks) junto con sus IDs del CWE y su ubicación en el código fuente. Para aprender a configurar y utilizar nuestra herramienta CLI como escáner de vulnerabilidades, sigue nuestra guía.

Si un usuario del marco CASA te pide pasar el nivel de seguridad 2, asegúrate de seguir el proceso descrito por ADA. Utiliza Machine para escanear tu aplicación tal y como muestra su página web.

Se te pedirá validar tu solicitud una vez al año, pero recuerda que durante ese tiempo la seguridad sigue siendo un tema de preocupación. Tienes que pensar en eso siempre, con cada cambio en tu aplicación. Realizando pruebas de seguridad constantemente, puedes ser consciente de las vulnerabilidades más comunes y solucionarlas. Podemos ayudarte con esto.

Empieza ya con la solución de Pruebas de seguridad de Fluid Attacks

Asegura tus aplicaciones con Fluid Attacks

Ofrecemos Hacking Continuo, que consiste en realizar pruebas de seguridad de aplicaciones a lo largo del ciclo de vida de desarrollo de tu software (SDLC). Configuramos Machine para detectar las vulnerabilidades de tu aplicación con precisión. Puedes ver cada hallazgo y detalles diversos, incluyendo recomendaciones para solucionar los problemas de seguridad, en nuestra plataforma. Ahí también puedes contactarnos para obtener apoyo a través de chat.

Entre los beneficios del Hacking Continuo se encuentran los siguientes:

  • Asegurar cada despliegue sin retrasar su salida al mercado.
  • Garantizar el cumplimiento de varios estándares (p. ej., PCI DSS, GDPR, CCPA).
  • Permitir la implementación de DevSecOps en la nube.

Puedes elegir entre dos planes pagos: plan Essential y plan Advanced. Plan Essential ofrece continuas pruebas de seguridad de aplicaciones estáticas (SAST), pruebas de seguridad de aplicaciones dinámicas (DAST) y análisis de composición de software (SCA) solo con nuestra herramienta de escaneo. plan Advanced incluye priorización con IA y pruebas de penetración manuales continuas. Nuestro equipo de hacking encuentra las vulnerabilidades que representan un mayor riesgo para las aplicaciones. Por eso te recomendamos que vayas más allá de la automatización y apuestes por las pruebas de seguridad realizadas a través de la perspectiva de los atacantes.

Si quieres probar nuestras soluciones, inicia tu prueba gratuita de 21 días con plan Essential y pásate a plan Advanced cuando quieras.

Suscríbete a nuestro blog

Recibe el boletín semanal de Fluid Attacks.

Blog posts recomendados

Quizá te interesen los siguientes posts similares.

Foto por Jasmin Egger en Unsplash

Si tu capa esencial de seguridad es vulnerable, estás frito

Foto por Christian Wiediger en Unsplash

La necesidad de mejorar la seguridad en el sector fintech

FOto por Claudio Schwarz en Unsplash

¿Es tu servicio financiero tan seguro como crees?

Foto por mitchell kavan en Unsplash

Poniendo en práctica el modelo zero trust

Foto por Brian Kelly en Unsplash

Te necesitamos, pero no podemos darte dinero

Foto por Sean Pollock en Unsplash

Los robos de datos que dejaron su huella para siempre

Foto por Roy Muz en Unsplash

Lecciones aprendidas de los cisnes negros

Inicia tu prueba gratuita de 21 días

Descubre las ventajas de nuestra solución Hacking Continuo, de la cual ya disfrutan cientos de organizaciones.

Inicia tu prueba gratuita de 21 días
Fluid Logo Footer

Hackeando software durante más de 20 años

Fluid Attacks analiza aplicaciones y otros sistemas, abarcando todas las fases de desarrollo de software. Nuestro equipo ayuda a los clientes a identificar y gestionar rápidamente las vulnerabilidades para reducir el riesgo de ciberincidentes y desplegar tecnología segura.

Copyright © 0 Fluid Attacks. We hack your software. Todos los derechos reservados.