4 min lectura • Guide 846 of 877
Security Testing en Agile
El security testing en agile asegura que la seguridad esté construida en el proceso de desarrollo. GitScrum ayuda a equipos a trackear tareas de seguridad, vulnerabilidades, y requerimientos de compliance a lo largo de los ciclos ágiles.
Integración de Security Testing
FLUJO DE SEGURIDAD EN DESARROLLO
════════════════════════════════
Sprint Planning ──► Development ──► Testing ──► Deployment
│ │ │ │
▼ ▼ ▼ ▼
Threat Modeling Secure Coding Security Testing Security Monitoring
Tipos de Security Testing
TIPOS DE TESTING DE SEGURIDAD
═════════════════════════════
SAST (Static Application Security Testing):
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Análisis estático de código fuente │
│ • Encuentra vulnerabilidades sin ejecutar │
│ • Integra en IDE y CI │
│ • Herramientas: SonarQube, Semgrep, Checkmarx │
│ │
└─────────────────────────────────────────────────────────────┘
DAST (Dynamic Application Security Testing):
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Testing dinámico de aplicaciones en ejecución │
│ • Simula ataques reales │
│ • Encuentra runtime vulnerabilities │
│ • Herramientas: OWASP ZAP, Burp Suite │
│ │
└─────────────────────────────────────────────────────────────┘
IAST (Interactive Application Security Testing):
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Combina approaches SAST y DAST │
│ • Instrumenta la aplicación │
│ • Más contexto que SAST/DAST solos │
│ • Herramientas: Contrast, Synopsys │
│ │
└─────────────────────────────────────────────────────────────┘
DEPENDENCY SCANNING:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Verifica librerías de terceros │
│ • Encuentra vulnerabilidades conocidas (CVEs) │
│ • Automatiza updates │
│ • Herramientas: Snyk, Dependabot, npm audit │
│ │
└─────────────────────────────────────────────────────────────┘
Seguridad en Workflow Ágil
SEGURIDAD EN CADA FASE
══════════════════════
BACKLOG:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Security stories (mejoras de seguridad) │
│ • Vulnerability fixes priorizados │
│ • Requerimientos de compliance │
│ • Threat model updates │
│ │
└─────────────────────────────────────────────────────────────┘
SPRINT PLANNING:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Incluir capacity para security work │
│ • Review threat model para features nuevas │
│ • Priorizar vulnerabilidades según SLA │
│ │
└─────────────────────────────────────────────────────────────┘
DESARROLLO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Secure coding practices │
│ • IDE security plugins │
│ • Pre-commit security hooks │
│ • Security-focused code review │
│ │
└─────────────────────────────────────────────────────────────┘
CI/CD:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • SAST en cada build │
│ • Dependency scan en cada build │
│ • Secret detection │
│ • DAST en staging │
│ │
└─────────────────────────────────────────────────────────────┘
PRODUCCIÓN:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Runtime monitoring │
│ • WAF (Web Application Firewall) │
│ • Penetration testing periódico │
│ • Incident response ready │
│ │
└─────────────────────────────────────────────────────────────┘
En GitScrum
SECURITY TESTING EN GITSCRUM
════════════════════════════
TRACKING:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Label: 🔒 security, security-testing │
│ • Tareas de remediación con SLA │
│ • Dashboard de postura de seguridad │
│ • Integración con herramientas de scanning │
│ │
└─────────────────────────────────────────────────────────────┘
MÉTRICAS:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Vulnerabilidades abiertas por severidad │
│ • Mean time to remediation │
│ • Security debt trending │
│ • SLA compliance │
│ │
└─────────────────────────────────────────────────────────────┘