Home » Security Bloggers Network » Escaneo estático aprobado por CASA

Escaneo estático aprobado por CASA

by Jason Chavarría on December 22, 2022

App Defense Alliance (ADA)
ha añadido la aplicación CLI de Fluid Attacks
como herramienta aprobada para las pruebas de seguridad de aplicaciones
(AST por sus siglas en inglés).
ADA es una asociación entre Google y colaboradores,
formada para garantizar que las aplicaciones de Android
sean seguras para los usuarios.
Nuestra
herramienta de código abierto
es de uso gratuito para el análisis estático
y ha sido aceptada oficialmente para validar
los requisitos de nivel 2 bajo el marco
de Cloud Application Security Assessment (CASA) de ADA.

El objetivo de App Defense Alliance

ADA surgió en 2019.
Sus miembros son Google,
ESET, Lookout, Zimperium y, más recientemente, McAfee y Trend Micro.
Esta alianza se compromete a garantizar
que las aplicaciones disponibles en Google Play
no estén plagadas de vulnerabilidades.

Para cumplir su propósito,
ADA exige a los desarrolladores verificar
que sus aplicaciones cumplan las normas de industria
en cuanto a seguridad de las aplicaciones.
En el caso de las aplicaciones móviles,
ADA puso en marcha
el marco Mobile Application Security Assessment
(MASA),
mientras que para las aplicaciones en la nube,
estableció el marco
Cloud Application Security Assessment
(CASA).

El marco MASA valida que
las aplicaciones cuenten con los controles de seguridad
definidos en el
Estándar de Verificación de Seguridad de Aplicaciones Móviles
(MASVS, por sus siglas en inglés) de OWASP.
(Por cierto,
hemos listado en otro artículo
los principales riesgos para las aplicaciones móviles
y definido el papel de
las pruebas de seguridad de aplicaciones móviles (MAST),
que, si realizas con nosotros,
pueden comprobar si cumples con MASVS y otras guías internacionales.)

Sin embargo,
en este artículo nos centraremos en el marco CASA.
Así que vamos a explicarlo con más detalle.

Cloud Application Security Assessment (CASA)

ADA creó CASA como una iniciativa para que
las aplicaciones Android
cumplan con los controles propuestos por el
Estándar de Verificación de Seguridad de Aplicaciones de OWASP
(ASVS, por sus siglas en inglés).
Su principal objetivo con este proyecto
es permitir integraciones seguras entre nubes
y potenciar su extensibilidad e inclusividad.

Ahora bien,
las aplicaciones varían en aspectos
como la sensibilidad de los datos a los que acceden,
la cantidad de usuarios por tipo de datos a los que se accede
y el nivel de tolerancia al riesgo de la empresa que las desarrolla.
Por eso,
el marco está diseñado para adoptar un enfoque de varios niveles basado
en los riesgos.
Dicho en términos simples,
los niveles (1, 2 y 3) indican hasta qué punto deben cumplirse
estrictamente los requisitos de seguridad.

Los usuarios del marco,
como Google,
piden a los desarrolladores que verifiquen
el cumplimiento de los estándares de CASA.
Son los primeros,
no los desarrolladores, quienes determinan el nivel.
Por supuesto que los desarrolladores
pueden optar
por iniciar la evaluación sin haber sido contactados,
pero solo superando la evaluación del nivel 3
obtendrían una verificación válida de CASA.
Este nivel requiere que los desarrolladores elijan y paguen
a un evaluador autorizado
para que compruebe la seguridad de la aplicación.

Los equipos que necesiten evaluaciones
de nivel 1 y 2 pueden utilizar las
herramientas de análisis recomendadas por CASA
para comprobar si sus aplicaciones presentan
vulnerabilidades comunes.
¡Es sobre esto que te tenemos noticias!

Nosotros figuramos en la lista de procedimientos de escaneo estático.
Puedes utilizar nuestra aplicación CLI
de código abierto aprobada por CASA sin costo alguno para realizar
pruebas de seguridad de aplicaciones estáticas
(SAST).

Nuestra aplicación CLIpara los escaneos de seguridad

Machine de Fluid Attacks es nuestra aplicación CLI
que los desarrolladores pueden configurar
para ejecutar análisis de código fuente
y evaluar aplicaciones web y otras superficies de ataque.
Esta aplicación realiza escaneo de vulnerabilidades
y reporta los nombres de las vulnerabilidades identificadas
(de acuerdo con el
conjunto estandarizado
de Fluid Attacks) junto con sus IDs del CWE y su ubicación en el código fuente.
Para aprender a configurar
y utilizar nuestra herramienta CLI como escáner de vulnerabilidades,
sigue nuestra guía.

Si un usuario del marco CASA te pide pasar el nivel de seguridad 2,
asegúrate de seguir el proceso
descrito por ADA.
Utiliza Machine para escanear
tu aplicación tal y como muestra
su página web.

Se te pedirá validar tu solicitud una vez al año,
pero recuerda que durante ese tiempo
la seguridad sigue siendo un tema de preocupación.
Tienes que pensar en eso siempre,
con cada cambio en tu aplicación.
Realizando pruebas de seguridad constantemente,
puedes ser consciente de las vulnerabilidades más comunes y solucionarlas.
Podemos ayudarte con esto.

Asegura tus aplicaciones con Fluid Attacks

Ofrecemos Hacking Continuo,
que consiste en realizar pruebas de seguridad de aplicaciones
a lo largo del ciclo de vida de desarrollo de tu software (SDLC).
Configuramos Machine para detectar
las vulnerabilidades de tu aplicación con precisión.
Puedes ver cada hallazgo y detalles diversos,
incluyendo recomendaciones para solucionar los problemas de seguridad,
en nuestra plataforma.
Ahí también puedes contactarnos para obtener apoyo a través de chat.

Entre los beneficios del Hacking Continuo se encuentran los siguientes:

Asegurar cada despliegue sin retrasar su salida al mercado.
Garantizar el cumplimiento de varios
estándares
(p. ej., PCI DSS, GDPR, CCPA).
Permitir la implementación
de DevSecOps en la nube.

Puedes elegir entre dos planes pagos:
Plan Machine y Plan Squad.
Plan Machine ofrece continuas
pruebas de seguridad de aplicaciones estáticas (SAST),
pruebas de seguridad de aplicaciones dinámicas (DAST)
y análisis de composición de software (SCA)
solo con nuestra herramienta de escaneo.
Plan Squad incluye priorización con IA y
pruebas de penetración manuales continuas.
Nuestro equipo de hacking encuentra las vulnerabilidades
que representan un mayor riesgo para las aplicaciones.
Por eso te recomendamos que vayas más allá de la automatización
y apuestes por las pruebas de seguridad realizadas
a través de la perspectiva de los atacantes.

Si quieres probar nuestras soluciones,
inicia tu prueba gratuita de 21 días
con Plan Machine y pásate a Plan Squad cuando quieras.

*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Jason Chavarría. Read the original post at: https://fluidattacks.com/es/blog/escaneo-estatico-aprobado-por-casa/

December 22, 2022December 22, 2022 Jason Chavarría

Escaneo estático aprobado por CASA

El objetivo de App Defense Alliance

Cloud Application Security Assessment (CASA)

Nuestra aplicación CLIpara los escaneos de seguridad

Asegura tus aplicaciones con Fluid Attacks

Senator Sanders Wants to Own AI Companies — and Hand America’s Adversaries the Keys

NIST’s Nine: The PQC Signature Race Moves to Round Three

The Quantum Arms Race: Why Washington Just Wrote a $2 Billion Check to Nine Companies

Beyond Moore’s Law: The Hyper-Acceleration of Autonomous AI Cyber Capabilities

The Exception Economy: When Security Teams Stop Protecting and Start Negotiating

GoPlus’s Latest Report Highlights How Blockchain Communities Are Leveraging Critical API Security Data To Mitigate Web3 Threats

C2A Security’s EVSec Risk Management and Automation Platform Gains Traction in Automotive Industry as Companies Seek to Efficiently Meet Regulatory Requirements

Zama Raises $73M in Series A Lead by Multicoin Capital and Protocol Labs to Commercialize Fully Homomorphic Encryption

RSM US Deploys Stellar Cyber Open XDR Platform to Secure Clients

ThreatHunter.ai Halts Hundreds of Attacks in the past 48 hours: Combating Ransomware and Nation-State Cyber Threats Head-On

Randall Munroe’s XKCD ‘Bottle’