El espacio de software DevSecOps sigue evolucionando a medida que los equipos de desarrollo de productos trabajan para adoptar estrategias de entrega "seguras por defecto". En febrero de 2022, G2 lanzó su categoría de Software de Pruebas de Seguridad de Aplicaciones Interactivas (IAST) para representar un enfoque clave de pruebas.

IAST: el hermano menor de SAST y DAST

El software IAST ha existido durante unos cuatro años, pero todavía tiene mucho espacio para crecer en el mercado. Se une a pruebas de seguridad de aplicaciones estáticas (SAST) y pruebas de seguridad de aplicaciones dinámicas (DAST) para formar un repertorio del cual los equipos de desarrollo pueden adaptar el enfoque que mejor les funcione. Mientras que SAST ejecuta pruebas de seguridad sin ejecutar realmente el código de una aplicación (de ahí "estático"), y DAST utiliza un método de prueba de caja negra para realizar pruebas desde fuera de la aplicación, el software IAST permite a los usuarios configurar un análisis de seguridad automatizado que ocurre dentro de la aplicación mientras está en funcionamiento.

El software IAST no es una herramienta que sustituya a SAST y DAST. En cambio, es mejor considerarlo como un complemento de una o ambas soluciones. DevSecOps, la estrategia de entrega de software que busca agilizar los flujos de trabajo a través del desarrollo, integración, seguridad y entrega continuos, requiere automatización para tener éxito.

IAST, SAST y DAST automatizan aspectos del proceso de pruebas de seguridad de software para ayudar a los equipos a lograr seguridad por defecto, pero los enfoques que habilitan son diferentes. Una estrategia exitosa de DevSecOps requiere una combinación de medidas de seguridad que sean completas y exhaustivas, al tiempo que ahorran tiempo al hacer de la seguridad una parte natural del proceso de desarrollo.

¿Cómo ayuda IAST?

Al igual que SAST, IAST se utiliza típicamente en las primeras etapas del ciclo de desarrollo de software. Esto significa que los problemas de seguridad se detectan antes que después, ahorrando a los equipos mucho tiempo y dolores de cabeza.

Uno de los beneficios de un enfoque DevSecOps es que cuanto más puedan los equipos tapar agujeros de seguridad a medida que avanzan, menos tendrán que volver atrás y rehacer. Dado que monitorea las aplicaciones desde dentro en tiempo real, el software IAST también tiene el potencial de ser mucho más eficiente que SAST y DAST. Cuando IAST detecta vulnerabilidades basadas en requisitos de cumplimiento conocidos o parámetros definidos por el usuario, notifica automáticamente a los probadores de software. Más allá de la notificación, el software IAST proporciona sugerencias de remediación para dar a los desarrolladores un punto de partida mientras trabajan para resolver problemas.

Sin embargo, vale la pena señalar que el software IAST solo se ejecuta en puntos predefinidos. Esto significa que los usuarios del software IAST deben ser minuciosos al determinar qué pruebas deben realizarse y cuándo. La integración de IAST con otras herramientas de automatización de pruebas puede complementar esta práctica, ya que los usuarios pueden reutilizar sus parámetros de prueba establecidos. En contraste con los puntos de prueba definidos por el usuario de IAST, SAST analiza la totalidad del código de la aplicación. Con eso en mente, SAST tiene una mayor cobertura que IAST, pero también puede producir más falsos positivos al detectar vulnerabilidades.

Mirando hacia adelante

En G2, continuaremos actualizando nuestra taxonomía para representar los mercados emergentes de software. Aunque el espacio IAST no es tan robusto como los espacios SAST y DAST, es una pieza importante del rompecabezas de pruebas de seguridad de aplicaciones (AppSec). Esperamos ver más productos añadidos a la categoría a medida que el espacio DevSecOps sigue evolucionando rápidamente.