Volver al inicio

DAST SAST SCA IAST RASP: guía de herramientas

El artículo desglosa categorías de herramientas de seguridad de aplicaciones: SAST, DAST, SCA, IAST, RASP. Proporciona opciones OSS gratuitas como OWASP ZAP, SonarQube, Trivy con pros/contras y recomendaciones de integración.

Guía de SAST DAST SCA: escáneres de vulnerabilidades gratuitos
Advertisement 728x90

Herramientas de análisis de seguridad de aplicaciones: SAST, DAST, SCA, IAST y RASP

Los pipelines modernos de DevSecOps requieren un análisis exhaustivo de vulnerabilidades. SAST analiza el código fuente de forma estática, DAST prueba aplicaciones en ejecución de forma dinámica, SCA verifica dependencias, IAST combina análisis estático y dinámico en tiempo de ejecución, y RASP proporciona protección durante la ejecución. Estas herramientas se integran en CI/CD para una detección temprana de amenazas.

SAST: Análisis estático de código

Las herramientas SAST analizan el código fuente sin ejecutarlo, detectando inyecciones SQL, XSS y APIs inseguras. Señalan las líneas exactas de código para las correcciones, acelerando el desarrollo.

Ventajas: detección temprana, integración con IDE y CI/CD.

Google AdInline article slot

Desventajas: falsos positivos, ignora errores en tiempo de ejecución y configuraciones.

Opciones en la nube:

  • SonarCloud: gratuito para repositorios públicos, hasta 50k LoC en privados. Soporta muchos lenguajes, reglas detalladas.
  • Semgrep Cloud: para equipos de hasta 10 personas, ilimitado en GitHub.
  • CodeQL: herramienta de GitHub, construye una base de datos a partir del código para consultas.

OSS local:

Google AdInline article slot
  • SonarQube Community: autoalojado, instalación con Docker, 15+ lenguajes.
  • Semgrep OSS: escáner CLI con reglas basadas en AST.

DAST: Pruebas dinámicas

DAST simula ataques contra aplicaciones en ejecución desde el exterior, sin acceso al código. Detecta problemas de autenticación, sesiones y configuraciones.

Ventajas: vulnerabilidades reales en tiempo de ejecución, independiente de la pila tecnológica.

Desventajas: etapa tardía del SDLC, requiere un entorno de pruebas, sin punteros a líneas.

Google AdInline article slot

En la nube:

  • HostedScan: 3-10 escaneos/mes, OWASP Top 10, Nmap, OpenVAS.

Local:

  • OWASP ZAP: API para CI/CD, soporte para Docker.
  • Nuclei: plantillas YAML para CVE, alta velocidad.

SCA: Análisis de dependencias

SCA escanea bibliotecas de código abierto en busca de CVE, licencias y versiones obsoletas. Crítico para cadenas de suministro de software.

Ventajas: auditoría rápida de vulnerabilidades conocidas, automatización en PR.

Desventajas: solo CVE conocidas, ruido de dependencias transitivas.

En la nube:

  • Snyk: consejos de remediación, OSS ilimitado.
  • GitHub Dependabot: PR automáticos para actualizaciones.

Local:

  • Trivy: contenedores, K8s, IaC.
  • OSV-Scanner: base de datos de Google OSV.dev.

| Tool | Ventajas | Desventajas |

|----------|--------------------------|-------------------------------|

| SAST | Correcciones tempranas, líneas exactas | Falsos positivos, sin runtime |

| DAST | Ataques reales, configuraciones | Etapa tardía, necesita entorno de pruebas |

| SCA | Listas CVE, licencias | Solo conocidas |

| IAST/RASP| Precisión, bloqueo | Sobrecarga de rendimiento, despliegue |

IAST y RASP: Análisis y protección en tiempo de ejecución

IAST incorpora agentes para rastrear datos en tiempo real, minimizando falsos positivos. RASP añade bloqueo de exploits.

Ventajas: contexto de ejecución, protección activa.

Desventajas: sobrecarga de rendimiento, pocas opciones OSS, integración compleja.

Pocas soluciones gratuitas completas; esta es una categoría comercial. Se recomienda combinar con SAST/DAST.

Puntos clave

  • SAST + DAST + SCA cubren el 90% de los riesgos de OWASP Top 10.
  • Integrar en CI/CD para seguridad shift-left.
  • Elegir OSS para control de datos autoalojados.
  • Considerar falsos positivos: ajustar reglas.
  • RASP es ideal para producción de alta carga.

— Editorial Team

Advertisement 728x90

Leer después