Automatice las pruebas de seguridad de aplicaciones móviles de Jenkins

Automatice las pruebas de seguridad de aplicaciones móviles de JenkinsAutomatice las pruebas de seguridad de aplicaciones móviles de Jenkins

Las aplicaciones móviles requieren pruebas continuas durante todo el proceso de desarrollo para garantizar que se implementen las medidas de seguridad y cumplimiento adecuadas. Si está utilizando el servidor de integración continua Jenkins en su canalización, probar continuamente las compilaciones de su aplicación móvil es simple con la plataforma de prueba de seguridad de aplicaciones móviles de Zimperium, zescanear.

Aquí describiremos cómo puede automatizar las pruebas de seguridad de aplicaciones móviles a partir de su implementación de Jenkins y aumentar su cadencia de prueba para producir mejores aplicaciones mientras reduce su tiempo de comercialización y el esfuerzo manual asociado. Cada vez que se envía un nuevo código a Jenkins, zScan probará la aplicación compilada y proporcionará detalles específicos sobre cómo mejorar las brechas de seguridad en sus aplicaciones móviles.

En este blog, proporcionamos detalles sobre:

  1. Por qué las pruebas de seguridad de aplicaciones móviles siguen siendo difíciles;
  2. Cómo automatizar y configurar pruebas desde Jenkins;
  3. Salidas disponibles e integraciones Jira opcionales;
  4. Categorizaciones de datos de prueba; y
  5. Cómo instalar en sus procesos existentes

Pruebas exitosas continuas de aplicaciones móviles

Hoy en día, las organizaciones exitosas de desarrollo de aplicaciones móviles utilizan una combinación de marcos nativos y multiplataforma. Los marcos multiplataforma permiten una base de código única sin comprometer una excelente experiencia de usuario. Esto significa que las funciones y las correcciones se implementan con mucha más frecuencia que nunca.

Mantener el ritmo requiere soluciones de prueba no solo para evaluar estos marcos con precisión, sino también para permitir una automatización completa. Necesita herramientas específicas para dispositivos móviles, ya que no son solo los sistemas operativos Android e iOS los que están cambiando; los marcos híbridos también están evolucionando.

“Con zScan, estamos detectando vulnerabilidades de seguridad antes del lanzamiento, en horas en lugar de semanas, y luego proporcionamos automáticamente a nuestro desarrollador externo una lista de correcciones”. – Gerente de Seguridad de Aplicaciones, Compañía de Banca Global

No identificar correctamente los errores en las aplicaciones móviles puede conducir a resultados desastrosos. Los órganos de gobierno pueden multar a su empresa por no cumplir con un mandato de cumplimiento o, lo que es peor, su empresa podría sufrir graves daños a la marca si se hiciera pública una violación de la aplicación móvil.

Existen varios ejemplos de violaciones de aplicaciones móviles públicas de este año Algunas de las infracciones más notables de este año incluyen la aplicación móvil de Walgreens, la fuga de datos de BHIM y varias aplicaciones de rastreo de contactos de coronavirus que filtraron datos privados de los usuarios.

Pruebas de aplicaciones automatizadas mediante plataformas de CI/CD

La automatización de las pruebas de seguridad de las aplicaciones móviles en su cadena de herramientas DevOps brinda a sus equipos la oportunidad de realizar pruebas con anticipación y con frecuencia. Los desarrolladores continúan asignando código de la misma manera cuando desarrollan nuevas funciones, correcciones de errores y modificaciones. Sin embargo, al integrar pruebas continuas a Jenkins durante el ciclo de desarrollo, identifica los riesgos de cumplimiento, seguridad y privacidad de forma temprana cuando son menos costosos de solucionar.

Si reduce la cantidad de errores realizando pruebas con más frecuencia, los costos generales de entrega se reducen y el rendimiento aumenta. La integración de herramientas de seguridad en los marcos DevOps existentes permite una mayor productividad y una mejor calidad sin obligar a los desarrolladores a desaprender y volver a aprender nuevos procesos. Suena bien, ¿verdad?

zScan automatiza las pruebas de seguridad de aplicaciones móviles

La plataforma de prueba de seguridad de aplicaciones móviles zScan de Zimperium brinda a los equipos de seguridad y desarrollo privacidad, fuga de datos, violaciones de cumplimiento y hallazgos de seguridad en cualquier aplicación de iOS o Android. El motor de procesamiento patentado de Zimperium disecciona cada binario de la aplicación móvil directamente desde Jenkins y proporciona datos sobre los riesgos residentes de sus aplicaciones.

Cada hallazgo proporciona a los desarrolladores descripciones específicas e instrucciones de remediación. Las instrucciones detalladas pueden integrarse en los sistemas de emisión de boletos existentes como Jira. La plataforma se puede personalizar aún más para enfocarse en categorías que se alineen con su empresa o industria.

La incorporación de los resultados del escaneo en su sistema de emisión de boletos permite mayores eficiencias posteriores. Estas integraciones significan que los desarrolladores pueden trabajar más rápido y reducir los tiempos de ciclo para la corrección de errores y mejoras. Los equipos pueden personalizar y filtrar los hallazgos como rastreados, mitigados, confirmados o corregidos para priorizar los flujos de trabajo y los plazos.

Cómo configurar su servidor Jenkins y zScan

Integrar las pruebas de seguridad de aplicaciones móviles de Zimperium a Jenkins es simple.

  1. Descargue el complemento de Jenkins desde la consola de administración de zScan;
  2. Abra Jenkins y navegue hasta «Administrar complementos»;
  3. Cargue el complemento zScan en zScan; y
  4. Configurar Jenkins

Descargue el complemento de Jenkins proporcionado en su panel de administración de zConsole.

Vaya a Administrar Jenkins y seleccione Administrar complementos.

Haga clic en la pestaña Avanzado y en la sección Cargar complemento, elija y cargue el archivo zScan-jenkins-plugin.hpi.

Luego reinicie Jenkins.

Configuración de Jenkins

En la sección Configurar de su proyecto, seleccione Agregar acción posterior a la compilación y haga clic en «Cargar artefactos de compilación en zScan».

Los campos disponibles en su configuración incluyen:

  • Extremo de la URL del servidor de Zimperium
    • Esta es su URL raíz a su consola Zimperium.
  • Identificación del cliente
    • Este valor es de sus autorizaciones de la consola de Zimperium. Su ID de cliente se crea después de generar su clave API.
  • Secreto del cliente
    • Este secreto de cliente solo se muestra cuando genera inicialmente su clave de API junto con el valor del identificador de cliente.
  • Archivos fuente
    • Esto le permite especificar patrones utilizando el script ANT. Zimperium proporciona varios ejemplos posibles de instrucciones ANT que pueden ayudarlo a comenzar.
  • Archivos excluidos
    • Este campo ofrece la posibilidad de especificar patrones para excluir archivos. Este campo es el opuesto del campo Archivos de origen. Del mismo modo, los patrones múltiples están separados por comas.

Hallazgos, instancias y categorías de cumplimiento

Después de configurar la plataforma de pruebas de seguridad de aplicaciones móviles de Zimperium con Jenkins y comenzar las pruebas, zScan le proporcionará instancias y resultados de seguridad. Los hallazgos son posibles problemas descubiertos en el análisis de la aplicación. Cada uno de los hallazgos que describen cada problema se clasifica según los mandatos y recomendaciones que afectan la seguridad, la fuga de datos y el cumplimiento (OWASP, NIAP, NIST, CCPA, GDPR).

Las instancias son ubicaciones específicas donde el hallazgo está presente en el código de su aplicación. Un ejemplo hipotético de hallazgo en una prueba de penetración física podría ser que las puertas de su casa permanezcan sin llave. Si tanto la puerta delantera como la puerta trasera están desbloqueadas, hay dos instancias del hallazgo. Es posible que sea necesario corregir o no ambos hallazgos. Puede optar por aceptar una instancia, lo que permite que la puerta trasera permanezca desbloqueada para una casa determinada (aplicación). Las políticas personalizables pueden filtrar los hallazgos en evaluaciones futuras para puertas desbloqueadas para que pueda concentrarse en nuevos hallazgos.

Video de Youtube

zScan ayuda a reducir el riesgo de las aplicaciones móviles

Para reducir el riesgo y limitar el fraude, las organizaciones de todo el mundo están probando aplicaciones móviles nativas e híbridas con zScan para identificar posibles fugas de datos y vulnerabilidades de seguridad. Los equipos de desarrollo de aplicaciones móviles de los sectores bancario, financiero, sanitario y público dependen de Zimperium para proteger, reforzar y detectar ataques en tiempo real a sus aplicaciones, sin importar el estado del dispositivo de sus usuarios.

“Con zScan, estamos detectando vulnerabilidades de seguridad antes del lanzamiento, en horas en lugar de semanas, y luego proporcionamos automáticamente a nuestro desarrollador externo una lista de correcciones”. – Gerente de Seguridad de Aplicaciones, Compañía de Banca Global

Póngase en contacto con nosotros hoy para obtener más información sobre zScan y cómo puede automatizar las pruebas de seguridad de su aplicación móvil.

Deja un comentario