VeraCode es una herramienta de seguridad para aplicaciones que ayuda a identificar y remediar vulnerabilidades en el código.

¿En qué sectores trabaja VeraCode?

VeraCode trabaja en diversos sectores como agricultura, manufactura, finanzas, retail y telecomunicaciones.

¿Cómo se integra VeraCode en el proceso de desarrollo?

VeraCode se integra en el pipeline de desarrollo, permitiendo análisis de seguridad automáticos y en tiempo real.

¿Qué tipo de vulnerabilidades puede detectar VeraCode?

VeraCode puede detectar vulnerabilidades en aplicaciones web, móviles y en código de terceros.

¿Es VeraCode costoso?

Aunque algunos consideran que VeraCode es caro, se argumenta que su valor radica en la prevención de riesgos y en la mejora del proceso de desarrollo seguro.

¿Qué tipo de capacitación ofrece VeraCode a los desarrolladores?

VeraCode ofrece capacitación en buenas prácticas de desarrollo seguro a través de videos y laboratorios prácticos.

¿Cómo se manejan los falsos positivos en VeraCode?

Los desarrolladores pueden marcar vulnerabilidades como falsos positivos y documentar sus decisiones dentro de la plataforma.

¿VeraCode ofrece soporte en español?

Sí, VeraCode ofrece servicios de gestión de programas en español.

¿Qué es un sandbox en VeraCode?

Un sandbox es un entorno privado donde los desarrolladores pueden probar y analizar partes de su aplicación de forma aislada.

¿Cómo se generan los informes en VeraCode?

Los informes se generan automáticamente tras los análisis de seguridad y contienen detalles sobre las vulnerabilidades encontradas.

¿Por qué Veracode es la solución líder en seguridad de software?

01:00:21

https://www.youtube.com/watch?v=vr9B05xDiPQ

Ringkasan

TLDREl webinar se centró en la importancia de la seguridad en el desarrollo de aplicaciones y cómo VeraCode puede ayudar a las empresas a integrar la seguridad en su ciclo de desarrollo. Se discutieron los beneficios de utilizar VeraCode, que incluye la detección de vulnerabilidades en aplicaciones web y móviles, así como en código de terceros. La presentación también abordó la necesidad de capacitar a los desarrolladores en buenas prácticas de seguridad y cómo VeraCode facilita este proceso. Se enfatizó que, aunque algunos consideran que VeraCode es costoso, su valor radica en la prevención de riesgos y en la mejora del proceso de desarrollo seguro.

Takeaways

🔒 VeraCode es una herramienta clave para la seguridad en aplicaciones.
🌍 Trabaja en múltiples sectores como finanzas y telecomunicaciones.
📈 Integra la seguridad en el ciclo de desarrollo para detectar vulnerabilidades.
👨‍🏫 Ofrece capacitación a desarrolladores en buenas prácticas de seguridad.
🛠️ Utiliza sandboxes para pruebas aisladas de aplicaciones.
📊 Genera informes detallados sobre vulnerabilidades encontradas.
⚠️ Permite marcar falsos positivos y documentar decisiones.
💬 Soporte en español disponible para usuarios.
🔗 Integraciones con otras herramientas de desarrollo son posibles.
💡 La prevención de riesgos puede justificar la inversión en VeraCode.

Garis waktu

00:00:00 - 00:05:00
En este webinar, se presenta VeraCode, una empresa líder en seguridad de aplicaciones y código, con más de siete años de experiencia en el mercado latinoamericano. Se discute la importancia de la seguridad en el desarrollo de software y se menciona la percepción errónea de que VeraCode es costosa, enfatizando el valor de contar con herramientas de seguridad adecuadas.
00:05:00 - 00:10:00
Se aborda la necesidad de integrar la seguridad en el proceso de desarrollo, comparando el desarrollo de software con la producción de automóviles, donde la falta de revisiones puede llevar a vulnerabilidades. Se menciona la experiencia de VeraCode en diversas industrias, destacando que la seguridad es crucial en todos los sectores, no solo en el financiero.
00:10:00 - 00:15:00
Se presenta un caso de estudio sobre una brecha de seguridad en una gran empresa, enfatizando que cualquier organización, independientemente de su tamaño, puede ser vulnerable. Se discuten los riesgos asociados con la falta de seguridad y la importancia de realizar revisiones adecuadas en el desarrollo de software.
00:15:00 - 00:20:00
Se identifican obstáculos comunes en las empresas, como la resistencia de los desarrolladores a comprometerse con prácticas de desarrollo seguro y la dificultad de gestionar remediaciones. Se sugiere la inclusión de desarrolladores en las conversaciones sobre seguridad para mejorar la colaboración y la efectividad del proceso.
00:20:00 - 00:25:00
Se explica cómo VeraCode puede integrarse en cualquier tipo de proceso de desarrollo, adaptándose a las necesidades del cliente. Se destaca la importancia de tener un enfoque proactivo en la seguridad, no solo buscando vulnerabilidades, sino también ayudando a remediarlas de manera efectiva.
00:25:00 - 00:30:00
Se menciona la capacitación de desarrolladores como un aspecto clave para mejorar la seguridad en el desarrollo. VeraCode ofrece recursos de aprendizaje y entornos de práctica para que los desarrolladores puedan mejorar sus habilidades en desarrollo seguro.
00:30:00 - 00:35:00
Se discute la detección de vulnerabilidades a través de diversas herramientas y metodologías, incluyendo análisis estático y dinámico. Se enfatiza la importancia de la respuesta rápida a las vulnerabilidades y cómo VeraCode facilita este proceso.
00:35:00 - 00:40:00
Se presenta la plataforma de VeraCode, que permite a los desarrolladores realizar análisis de seguridad de manera eficiente y sin complicaciones adicionales. Se destaca la capacidad de la plataforma para adaptarse a diferentes lenguajes de programación y tipos de aplicaciones.
00:40:00 - 00:45:00
Se explica cómo la plataforma de VeraCode permite la gestión de defectos y la trazabilidad de las acciones tomadas en relación con las vulnerabilidades. Se menciona la importancia de documentar las decisiones y acciones en el proceso de desarrollo seguro.
00:45:00 - 01:00:21
Se concluye el webinar invitando a los participantes a un próximo evento y ofreciendo apoyo adicional para aquellos interesados en implementar soluciones de seguridad en sus procesos de desarrollo. Se enfatiza la importancia de la colaboración y el aprendizaje continuo en el ámbito de la seguridad de aplicaciones.

Tampilkan lebih banyak

Peta Pikiran

Video Tanya Jawab

¿Qué es VeraCode?
VeraCode es una herramienta de seguridad para aplicaciones que ayuda a identificar y remediar vulnerabilidades en el código.
¿En qué sectores trabaja VeraCode?
VeraCode trabaja en diversos sectores como agricultura, manufactura, finanzas, retail y telecomunicaciones.
¿Cómo se integra VeraCode en el proceso de desarrollo?
VeraCode se integra en el pipeline de desarrollo, permitiendo análisis de seguridad automáticos y en tiempo real.
¿Qué tipo de vulnerabilidades puede detectar VeraCode?
VeraCode puede detectar vulnerabilidades en aplicaciones web, móviles y en código de terceros.
¿Es VeraCode costoso?
Aunque algunos consideran que VeraCode es caro, se argumenta que su valor radica en la prevención de riesgos y en la mejora del proceso de desarrollo seguro.
¿Qué tipo de capacitación ofrece VeraCode a los desarrolladores?
VeraCode ofrece capacitación en buenas prácticas de desarrollo seguro a través de videos y laboratorios prácticos.
¿Cómo se manejan los falsos positivos en VeraCode?
Los desarrolladores pueden marcar vulnerabilidades como falsos positivos y documentar sus decisiones dentro de la plataforma.
¿VeraCode ofrece soporte en español?
Sí, VeraCode ofrece servicios de gestión de programas en español.
¿Qué es un sandbox en VeraCode?
Un sandbox es un entorno privado donde los desarrolladores pueden probar y analizar partes de su aplicación de forma aislada.
¿Cómo se generan los informes en VeraCode?
Los informes se generan automáticamente tras los análisis de seguridad y contienen detalles sobre las vulnerabilidades encontradas.

Lihat lebih banyak ringkasan video

Dapatkan akses instan ke ringkasan video YouTube gratis yang didukung oleh AI!

Teks

Gulir Otomatis:

00:00:00
sesión gracias por por acompañarnos en
00:00:03
este webinar tenemos la sala llena Así
00:00:06
que muy entretenido que que ustedes
00:00:09
quieran participar en este tema
00:00:16
Vera coach Vera coach es una empresa
00:00:20
para dar seguridad en las aplicaciones
00:00:25
seguridad de código
00:00:29
es una empresa líder en garner ocho años
00:00:33
bastante entretenida de trabajar
00:00:36
desde ese pnne tenemos bastante
00:00:39
experiencia en lo que ha sido presentar
00:00:41
la marca conocer la marca conocemos
00:00:44
veracota hace más de siete años cuando
00:00:47
llegó a a Chile hemos ido en avanzadas
00:00:52
hacia Perú hemos ido en avanzada hacia
00:00:54
me hacia
00:00:56
Colombia tenemos clientes en México
00:00:59
tenemos clientes de de todo tipo hemos
00:01:03
estado apoyando a varios canales a nivel
00:01:05
latam presentando esta solución que es
00:01:12
es fácil pero me he encontrado con
00:01:16
algunos Partner que realmente
00:01:20
me complican un poco cuando dicen no es
00:01:23
que ver acode es entretenida pero es
00:01:26
cara
00:01:27
es Es una herramienta genial para las
00:01:30
empresas pero es costosa
00:01:33
y eso me deja
00:01:35
con muchas cuestiones
00:01:39
diciendo o estamos hablando un tema
00:01:43
diferente
00:01:44
o o no están entendiendo el valor de
00:01:49
tener una herramienta de seguridad en
00:01:51
las aplicaciones lo que le quiero
00:01:54
transmitir hoy es confianza en Veracruz
00:01:58
es confianza en el proceso ya
00:02:02
hablemos con los clientes sobre
00:02:05
metodología ya hablemos con los clientes
00:02:09
sobre Cómo mejorar este proceso y yo les
00:02:14
pongo un ejemplo bien práctico
00:02:16
si si las líneas de producción de autos
00:02:19
ya tuvieron que
00:02:23
hacer el auto pedir
00:02:27
revisiones externas después armar todo
00:02:30
el auto volver para atrás el auto
00:02:33
desarmarlo de nuevo volver a pasar por
00:02:37
un por una revisión volver a armar el
00:02:40
auto y volver a desarmarlo de nuevo en
00:02:43
la línea de producción créanme que sería
00:02:47
terrible un proceso así tía o no pues
00:02:52
así es como es el proceso de desarrollo
00:02:55
Exactamente igual estamos en procesos
00:02:59
diferentes en procesos complicados hemos
00:03:03
escuchado a clientes que dicen algunos
00:03:06
temas con sus ciclos de desarrollo que
00:03:09
uno dice Pero cómo lo hacen cómo salen a
00:03:12
producción
00:03:14
con un
00:03:16
con un producto que es vulnerable con un
00:03:20
producto que tiene riesgo con un
00:03:23
producto con deuda técnica veamos esto a
00:03:26
través de estos slide que les voy a
00:03:28
mostrar y después hacemos una
00:03:30
demostración
00:03:33
veraco trabajan todas las líneas de
00:03:35
negocio trabaja en agricultura
00:03:38
manufactura finanzas ritel
00:03:41
comunicaciones tenemos experiencia en
00:03:44
esto y tú dirás en temas de agricultura
00:03:46
Cómo así Bueno hoy en día están
00:03:49
automatizando tanto los procesos que
00:03:52
todo se hace a través de aplicaciones ya
00:03:56
si quiero hacer un riego si quiero
00:03:58
generar un proceso si quiero mejorar una
00:04:02
configuración
00:04:03
todo se está haciendo a través de
00:04:06
software ya porque muchas personas creen
00:04:09
que el software es lo que vemos en la
00:04:12
internet y no es así hay mucho Software
00:04:15
que es interno de las empresas porque
00:04:19
ayuda a mejorar los procesos y
00:04:22
automatizar tareas y entonces estás
00:04:25
automatizando una tarea que te está
00:04:27
generando vulnerabilidades bueno
00:04:30
ayudemos a nuestros
00:04:33
clientes no importa
00:04:35
donde estén su su área ya Porque mucha
00:04:39
gente me dice no es que Veracruz es para
00:04:42
los bancos no es así no es así tenemos
00:04:45
mucha experiencia en otras muchas áreas
00:04:49
en tema de telecomunicaciones en temas
00:04:52
de retail ya
00:04:55
todos tienen que hacer algún proceso de
00:05:00
software Entonces cómo mejoramos estos
00:05:02
procesos a través del tiempo
00:05:06
qué nos deja
00:05:08
de experiencia un caso de riesgo muy
00:05:11
grande como el de eco y fax que no
00:05:14
importa el tamaño de empresa que seas no
00:05:17
importa si eres grande pequeño como sea
00:05:20
te van a atacar
00:05:23
van a atacar si encuentra un atacante
00:05:27
encuentra una brecha que es altamente
00:05:29
explotable Y a partir de ahí puede sacar
00:05:33
tus bases de datos tu información
00:05:35
crítica tus procesos en lo que estás
00:05:39
trabajando tu forma de trabajar las
00:05:42
cosas lo van a hacer Ya está el caso de
00:05:46
le costó millones en multas de de
00:05:51
reputación le le costó mucho volver a a
00:05:55
que la gente confiara en tener los datos
00:05:58
Y fue vulnerada por módulos de terceros
00:06:03
entonces la gente dice Pero cómo una
00:06:07
empresa tan grande no tiene seguridad sí
00:06:09
tenía seguridad pero normalmente las
00:06:13
empresas asumen el riesgo de algunas
00:06:16
áreas dicen esto no lo resuelvo o esto
00:06:19
no lo reviso ya nos hemos encontrado con
00:06:22
muchas empresas
00:06:24
donde dicen no es que los módulos de
00:06:28
tercero lo revisamos con una licencia
00:06:30
Open source
00:06:32
las aplicaciones el código lo revisamos
00:06:35
con otra plataforma donde tenemos
00:06:38
revisamos al final del ciclo
00:06:41
además hacemos análisis das Tenemos
00:06:44
también otra plataforma o sea están
00:06:48
haciendo un trabajo
00:06:50
Y a partir de aquí nosotros podemos
00:06:52
decir Bueno yo te voy a ayudar a mejorar
00:06:54
ese trabajo cierto entonces Cuáles son
00:06:58
los los obstáculos que nos encontramos
00:07:01
dentro de nuestros clientes qué es lo
00:07:03
que nos dicen un programa de desarrollo
00:07:06
seguro es un programa complicado porque
00:07:09
los desarrolladores no quieren estar
00:07:14
comprometidos con desarrollo seguro
00:07:16
porque ellos tienen herramientas openso
00:07:20
ustedes que utilizan y con eso ya
00:07:23
lo saben hacer además
00:07:26
si tengo remediaciones son difíciles de
00:07:30
gestionar y estar actualizando esa
00:07:33
remediaciones para poder salir sin
00:07:36
vulnerabilidades ya y obviamente
00:07:39
no todo el equipo se puede dedicar a
00:07:43
estar hablando de seguridad en las
00:07:45
aplicaciones entonces
00:07:47
tengo un equipo complicado Son son
00:07:51
conversaciones largas y y conversaciones
00:07:54
que no se quieren tener con la gente de
00:07:57
seguridad hay veces nos extraña mucho
00:08:00
que entran a hablar de desarrollo seguro
00:08:02
los las personas de seguridad de la
00:08:06
empresa o de ciberseguridad analistas de
00:08:09
seguridad pero no viene nadie de código
00:08:12
no viene un desarrollador no viene un
00:08:16
Team líder Entonces
00:08:18
qué Qué nos está faltando en esta
00:08:20
conversación incluyamos a las personas
00:08:23
de desarrollo porque los vamos a ayudar
00:08:26
con un foco que los involucra a ellos
00:08:29
que los podemos tener en este proceso
00:08:32
Entonces cómo hablamos de del enfoque de
00:08:36
veraco mira
00:08:39
podemos integrarnos en cualquier tipo de
00:08:42
papela y de desarrollo y consolidar este
00:08:45
proceso esto ayuda a que si nosotros si
00:08:49
él está ya pensando en un proceso
00:08:51
automatizado cierto ahora hablemos de un
00:08:55
proceso automatizado con seguridad ya
00:08:58
entonces yo me puedo adaptar como
00:09:02
veracot a tu proceso de desarrollo no
00:09:06
estoy diciendo que que
00:09:08
vamos a crear un desarrollo o vamos a
00:09:12
crear una Api para poder integrarme a un
00:09:16
determinado papel en que tenga el
00:09:18
cliente nosotros nativamente tenemos ya
00:09:22
la sapi y nos podemos integrar Esto va a
00:09:24
ser que sea más fácil pero muchos
00:09:27
clientes te van a decir No tengo
00:09:29
papeline no tengo automatizado mi
00:09:32
proceso de desarrollo no importa porque
00:09:35
el mundo cambia Entonces no todo el
00:09:38
mundo No anda con proyectos ágiles No
00:09:43
todo el mundo está trabajando Al mismo
00:09:45
ritmo Imagínate Entonces qué es lo que
00:09:48
hace Veracruz que en el momento en el
00:09:51
que vayas a integrar algún tipo de
00:09:53
herramienta ya sabes que lo puedes hacer
00:09:56
ya sabes que no tienes que comprar ni
00:10:00
licencias ni adicionales ni versiones ni
00:10:03
nada ver a lo trae para que si lo tienes
00:10:07
lo puedas trabajar y si no lo tienes y
00:10:10
lo piensas a futuro también lo podemos
00:10:13
incluir Entonces
00:10:15
es un enfoque muy bueno corregir no
00:10:19
solamente en encontrar o introducir
00:10:22
nueva fallas Y es que en qué nos
00:10:25
tratamos en esto en
00:10:28
que la forma como nosotros trabajamos
00:10:31
todo el ciclo de desarrollo seguro que
00:10:34
es lo que hablan hoy en día las
00:10:36
auditorías el compliance habla de ciclo
00:10:40
de desarrollo seguro comprometidos con
00:10:43
un foco para no solamente que estés
00:10:46
buscando vulnerabilidades y buscando
00:10:48
vulnerabilidades sino en Cómo estás
00:10:52
remediando Cómo puedo ayudar a mi equipo
00:10:54
a remediar estas vulnerabilidades
00:10:58
y aquí viene una parte que quiero
00:11:00
subrayar Cómo ayudar a mi equipo a que
00:11:04
mejore como remediar esas
00:11:07
vulnerabilidades entonces con veraco
00:11:10
puedes ayudarle a remediar le puedes
00:11:14
indicar desde dónde puede partir esa
00:11:17
remediación ya y tiene unas herramientas
00:11:20
que le van a servir en su proceso que se
00:11:24
van a adaptar al desarrollo seguro ya
00:11:28
entonces definimos un programa
00:11:32
escalado para poder trabajar un proceso
00:11:35
de desarrollo seguro y cuando hablamos
00:11:38
de escalado cuando hablamos de de
00:11:41
desarrollo seguro podemos incluir en
00:11:44
este desarrollo ustedes saben que muchas
00:11:47
empresas revisan el código
00:11:51
y cuando encuentran esas empresas que
00:11:54
les dicen no si nosotros hacemos
00:11:56
desarrollo seguro perfecto tenemos Diez
00:12:00
mil líneas de código
00:12:02
perfecto y cómo revisan Entonces los
00:12:07
aplicativos Mobile
00:12:10
Y entonces cómo revisan las aplicaciones
00:12:13
que vienen de terceros y entonces cómo
00:12:18
revisan
00:12:19
las aplicaciones antiguas Entonces no
00:12:22
todo se puede incluir ahí ya Qué hacen
00:12:26
Vera con diferente podemos incluir las
00:12:29
librerías de terceros las aplicaciones
00:12:32
móviles las aplicaciones más viejitas
00:12:36
porque tenemos una cantidad enorme de
00:12:39
frameworks reconocidos de
00:12:42
de lenguajes de y desde desarrollo de
00:12:47
metodologías de trabajo ya entonces nos
00:12:50
vamos a adaptar a la metodología al
00:12:53
lenguaje al al desarrollador para poder
00:12:56
trabajar en un proceso de desarrollo
00:12:59
seguro bien adaptado a las necesidades
00:13:03
de cada uno
00:13:05
en este enfoque de veraco trabajamos en
00:13:08
una fase muy interesantes en prevenir
00:13:12
detectar y responder ya
00:13:15
hemos sido creciendo y hemos sido
00:13:18
mejorando muchas técnicas y prácticas a
00:13:21
través del desarrollo seguro ya por qué
00:13:24
hablamos de prevenir porque no solamente
00:13:27
se trata de ponerle al desarrollador una
00:13:31
tarea sino de también ayudarlo a que
00:13:34
mejore esas tareas y que pueda practicar
00:13:37
en un desarrollo seguro entonces
00:13:40
trabajamos con capacitación para los
00:13:43
desarrolladores Ya esta es una área muy
00:13:47
importante y muy sensible porque en el
00:13:50
momento y ahora que tú le dices a un
00:13:52
desarrollador te vamos a revisar la
00:13:54
aplicación
00:13:56
pero no le entregas ninguna herramienta
00:13:58
de capacitación el desarrollador se
00:14:00
siente vulnerado Entonces
00:14:03
es diferente la conversación de te voy a
00:14:07
revisar la aplicación pero te voy a
00:14:09
ayudar con un curso para buenas
00:14:12
prácticas en desarrollo seguro para que
00:14:15
escribas bien esas aplicaciones Entonces
00:14:17
tenemos el earning que le que son videos
00:14:21
en inglés para buenas prácticas en el
00:14:24
desarrollo y esta la parte importante es
00:14:29
que el desarrollador Escoge
00:14:32
el lenguaje que quiere trabajar ya si
00:14:36
está trabajando en punto net si está
00:14:38
trabajando en Java si está trabajando en
00:14:41
chichar ya
00:14:43
hicecurity labs le entrega un código en
00:14:46
un laboratorio
00:14:48
un código que está malo y él lo tiene
00:14:50
que resolver entonces además de los
00:14:53
videos tienes donde practicar Cómo
00:14:57
resolver esas vulnerabilidades y que lo
00:14:59
tengas que hacer en tu propio ambiente
00:15:01
ya te entrega un entorno cerrado para
00:15:04
que puedas hacer estas prácticas seguras
00:15:08
hablamos de detectar vulnerabilidades
00:15:11
detectar trabajamos mucho en la búsqueda
00:15:15
y y detección de vulnerabilidades con
00:15:19
Sas ya
00:15:20
con módulos de terceros software
00:15:23
composición análisis SSA Tenemos también
00:15:27
container Security trabajamos con
00:15:30
seguridad para para procesos de
00:15:33
configuración tenemos análisis das
00:15:37
también y no está bien adaptado para
00:15:41
latinoamérica Porque todavía tiene
00:15:43
precios muy altos pero también trabajan
00:15:45
veracot hace
00:15:48
pentate como servicio lo tiene son unos
00:15:53
precios todavía elevados porque están
00:15:55
para para
00:15:59
Los Americanos pero pero está o sea
00:16:03
ellos si ven el ciclo de desarrollo
00:16:06
hasta el penetration test nosotros lo
00:16:09
vemos en Latinoamérica hasta el gas no y
00:16:12
está trabajando unas partes muy
00:16:15
importantes que es la la respuesta ya la
00:16:20
respuesta a a estas vulnerabilidades
00:16:23
porque si antiguamente te demorabas así
00:16:27
como dos días tres días en resolver una
00:16:30
vulnerabilidad porque no sabías Porque
00:16:33
no tenías ejemplo tienes que entrar a
00:16:36
comunidades de repente averiguar un poco
00:16:38
más sobre sobre me afectará no me
00:16:41
afectará lo que hace ver a cofix es que
00:16:44
te entrega un ejemplo de cómo remediar
00:16:47
esa vulnerabilidad en tres dos uno ya
00:16:52
muy fácil de adaptar muy fácil de
00:16:54
reconocer se viene para latinoamérica Ya
00:16:57
hicimos un lanzamiento acá en
00:17:00
Latinoamérica
00:17:01
Entonces vamos a trabajar con Además de
00:17:06
que te ayudamos a detectar las
00:17:08
vulnerabilidades te vamos a ayudar a
00:17:10
responder y a resolver Y a mitigar esas
00:17:14
vulnerabilidades con veracs ya Y además
00:17:18
tiene Veracruz los servicios en español
00:17:22
de program management hay una persona
00:17:25
que se dedica a apoyar este proceso de
00:17:30
desarrollo seguro con la implementación
00:17:32
de beraco No si bien es cierto No es un
00:17:37
servicio Como de depse cops ya es un
00:17:41
servicio para que la persona entienda
00:17:44
Cuál es su licenciamiento Cómo cumplir y
00:17:48
tus objetivos Cómo empezar a utilizar la
00:17:50
plataforma y qué pasos ir siguiendo en
00:17:53
el tiempo ya aquí necesitamos mucho el
00:17:56
apoyo del del de nuestros Partner
00:18:00
mucho por qué Porque necesitamos ese
00:18:04
acompañamiento para que este program
00:18:07
management se cumpla y se lleve a cabo
00:18:10
necesitamos que ustedes trabajen con
00:18:13
esta estrategia que sepan que se hablan
00:18:16
el Kick off y que se cumplan los
00:18:18
objetivos para la
00:18:20
para la renovación de la plataforma ya
00:18:25
entonces cuando hablamos de seguridad de
00:18:28
aplicaciones en el en el papeline de de
00:18:34
desarrollo ya entonces
00:18:37
si nosotros tenemos la seguridad
00:18:40
integrada dentro del papeline de
00:18:43
desarrollo cierto podemos trabajar de
00:18:47
una forma
00:18:48
rápida confiable sin salir del proceso
00:18:53
donde tenemos una línea de desarrollo
00:18:56
seguro que está realmente
00:19:00
fácil de llegar a producción
00:19:04
y no tenemos salidas para otro tipo de
00:19:07
de soluciones ni configuraciones
00:19:09
adicionales ni metodologías ni colocar
00:19:13
políticas de seguridad ni informes
00:19:16
diferentes ya el simple hecho de tener
00:19:19
informes por separado es algo Monumental
00:19:22
ya cobertura todo tipo de aplicaciones
00:19:25
aplicaciones web Mobile microservicios
00:19:29
porque qué pasa con las empresas han ido
00:19:33
evolucionando porque antiguamente se
00:19:35
tenía un gran monolito se revisaba una
00:19:39
gran aplicación Vera contestaba adaptado
00:19:41
a revisar grandes aplicaciones perfecto
00:19:44
pero resulta que las empresas se fueron
00:19:47
dando cuenta y Es lógico que se podía
00:19:51
mejorar ese proceso si era que yo
00:19:54
empezaba a desmembrar esta aplicación
00:19:57
para sacar pedazos de de actividades que
00:20:03
se hacen dentro de las aplicaciones y
00:20:06
tenerlos aparte tener un grupo aparte
00:20:09
tener una metodología ágil una
00:20:13
metodología donde si yo trabajo por
00:20:15
módulos independientes puedo
00:20:18
mejorar la rapidez con la que entregó un
00:20:22
producto final genial Entonces qué hizo
00:20:25
Veracruz se adaptó también al micro
00:20:28
servicio ya Entonces tenemos
00:20:31
aplicaciones que son monolíticas y
00:20:34
aplicaciones que son para microservicios
00:20:37
muy entretenido de trabajar ya tenemos
00:20:40
el mayor reconocimiento del lenguaje de
00:20:43
programación Y esto es muy importante
00:20:45
porque
00:20:47
muchas empresas ofrecen desarrollo
00:20:50
seguro nosotros lo sabemos pero ofrecen
00:20:52
desarrollo para Java para
00:20:58
punto net de repente Ruby ya pero qué
00:21:02
pasa con sichar qué pasa con RPG qué
00:21:05
pasa con cobol qué pasa con cantidad de
00:21:08
aplicaciones que son ligadas y que no
00:21:11
tienen cobertura bueno con nuestro
00:21:14
programa de Veracruz está
00:21:17
cubiertas esas esas aplicaciones que
00:21:21
están dejando de hacer ya qué pasa con
00:21:24
Android también lo podemos revisar ya
00:21:27
entonces podemos simplificar esta
00:21:30
gestión y esta reportería y estas
00:21:34
políticas de seguridad para tener una
00:21:36
solución única de desarrollo que me
00:21:39
mejora este proceso y Cómo y cómo se
00:21:43
mejora este proceso en el tiempo cómo
00:21:47
cómo se aplica en el estándar entonces
00:21:49
qué quiere decir que nosotros trabajemos
00:21:53
muy a la izquierda muy a la izquierda
00:21:56
significa que tenemos un producto que se
00:21:59
llama Sas lo que conoce todo el mundo y
00:22:03
tú me vas a decir pero por qué con
00:22:06
es más económico que los demás
00:22:09
Por qué me estás diciendo que Veracruz
00:22:12
no es costoso si hubiera lo que se ha
00:22:15
reconocido durante mucho tiempo es que
00:22:17
está pues no es costoso porque te ayuda
00:22:20
a tener un ciclo
00:22:22
estabilizado para que tu proceso de
00:22:25
seguridad llegue a producción de una
00:22:27
manera eficiente y efectiva cómo lo
00:22:31
hacemos tenemos y de scan incluido
00:22:35
dentro de esas todo lo que está acá
00:22:38
dentro de la dentro de esta línea está
00:22:42
incluido dentro de esas ya
00:22:47
Esto está manejado en una plataforma que
00:22:51
es Cloud ya donde tiene ilimitados
00:22:55
perfiles de usuarios Entonces yo puedo
00:23:00
crear grupos de usuario yo puedo
00:23:04
yo puedo hacer perfiles de
00:23:06
administración perfiles de seguridad
00:23:09
perfiles de desarrollador ya Entonces
00:23:13
qué pasa cuando tengo un desarrollador
00:23:16
que me está generando
00:23:19
muchas Bajas vulnerabilidades con
00:23:22
respecto a Cómo escriben las las
00:23:27
Cómo escriben los desarrollos ya
00:23:30
entonces cuando están escribiendo este
00:23:33
código necesitan tener un contexto de
00:23:36
buenas prácticas en desarrollo seguro
00:23:39
cierto y esto es lo que le entrega esta
00:23:42
herramienta de y de scan pero el
00:23:45
desarrollador no va a tener que entrar
00:23:47
una plataforma subir su aplicación y
00:23:50
revisarlo no es un plugin que se instala
00:23:54
en el en el ide de desarrollo del
00:23:58
desarrollador ya cuando el desarrollador
00:24:01
está escribiendo una aplicación esto se
00:24:05
genera desde la plataforma yo le asigno
00:24:08
un plugin este plugin lo ayuda a revisar
00:24:12
el contexto de buenas prácticas en
00:24:14
desarrollo seguro lo tuvo que salir de
00:24:18
la plataforma no tuvo que hacer
00:24:20
configuraciones adicionales le estoy
00:24:22
entregando un apoyo a mi desarrollador
00:24:26
por eso la conversación de seguridad con
00:24:30
Vera con el desarrollador es muy amable
00:24:33
porque le estoy dando una herramienta de
00:24:36
de desarrollo seguro que no la tienes
00:24:39
que comprar aparte
00:24:41
check para mejorar el precio
00:24:44
le estoy entregando papel ainezcan ya
00:24:48
porque en el momento en que el que en
00:24:52
quevera crea un perfil de desarrollo
00:24:54
para Sas para creamos un perfil ya ese
00:24:59
perfil está asociado a personas ese
00:25:03
perfil está asociado a una política de
00:25:06
desarrollo que yo creo cierto donde yo
00:25:09
puedo poner
00:25:11
una política customizada o yo puedo
00:25:15
poner unas políticas de las que me
00:25:17
recomienda veraco cómo vamos a trabajar
00:25:20
como el cliente quiera trabajar es que
00:25:23
estoy empezando en este proceso de
00:25:25
desarrollo seguro pongamos una política
00:25:27
base
00:25:28
es que estamos trabajando con un
00:25:31
desarrollo avanzado Y tenemos muy clara
00:25:33
las vulnerabilidades que quiero
00:25:35
encontrar
00:25:36
creemos un perfil adaptado para esto ya
00:25:39
Entonces qué pasa cuando yo tengo que
00:25:43
revisar al final del ciclo si reviso al
00:25:47
final del ciclo pues obviamente me tengo
00:25:49
que devolver un montón para poder
00:25:50
hacerlo de nuevo por el otro lado cierto
00:25:54
estas dos herramientas
00:25:56
que están acá papel einez y ambos le
00:26:01
ayudan al desarrollador a revisar
00:26:06
esta aplicación sin que salga en el
00:26:09
informe final sin que sea parte del
00:26:12
proceso final es un apoyo desarrollador
00:26:16
para que él pueda revisar las
00:26:18
vulnerabilidades entre medio y mira qué
00:26:22
entretenido tenemos esta parte de de
00:26:25
sandbox donde está revisando la
00:26:27
aplicación bajo la política que nosotros
00:26:30
hemos creado Pero como hay
00:26:33
vulnerabilidades que salen día a día
00:26:35
minuto a minuto segundo a segundo tengo
00:26:38
papel en scan que revisa contra la
00:26:41
política general que tiene Veracruz
00:26:44
entonces si yo tengo dos herramientas
00:26:48
donde puedo estar utilizando para
00:26:51
mejorar mi proceso yo como desarrollador
00:26:54
cierto y trabajarlo en mi entorno y
00:26:58
trabajarlo de una manera efectiva
00:27:01
Entonces qué estamos creando una
00:27:05
política
00:27:06
decía estamos cuando cuando llega el
00:27:09
informe de política sabemos
00:27:11
perfectamente si cumple esa política
00:27:15
Cuáles vulnerabilidades están
00:27:17
resolviendo más rápidamente Cuál es el
00:27:20
estándar que estamos trabajando de
00:27:22
vulnerabilidades y Cómo podemos avanzar
00:27:24
en el tiempo tenemos además la forma de
00:27:28
revisar los módulos de tercero sin
00:27:31
configuraciones adicionales
00:27:33
mejorando el proceso de desarrollo check
00:27:37
para ver a para mejorar el precio
00:27:39
Entonces
00:27:41
qué tenemos Estamos trabajando Estamos
00:27:44
trabajando unos librerías de terceros
00:27:48
unas librerías de terceros con base en
00:27:51
esta misma política que nosotros hemos
00:27:54
creado
00:27:55
ya él sale en el mismo informe no tiene
00:28:00
un informe adicional no tiene un informe
00:28:02
diferente no tienes que hacer otra
00:28:04
configuración entonces en qué mejoraste
00:28:07
en el tiempo en la metodología en el
00:28:11
proceso y tenemos das para que esas
00:28:16
aplicaciones que van hacia las url
00:28:19
puedan ser revisadas también
00:28:21
Bajo la misma política bajo el mismo
00:28:25
informe en la misma plataforma Entonces
00:28:29
qué qué hice mejor el proceso
00:28:33
automaticé tareas y Por ende nunca eso
00:28:37
puede ser más caro de lo que estaban
00:28:39
haciendo antiguamente así sea que estén
00:28:43
haciendo un análisis manual al final del
00:28:45
ciclo así sea que lo estén trabajando
00:28:47
con diferentes plataformas así sea
00:28:50
tenemos una política establecida que
00:28:53
podemos visualizar
00:28:55
y lo otro que puedes hablar con el
00:28:58
cliente que y que nos ha pasado ya es
00:29:01
que muchos se hizo no saben los
00:29:04
lenguajes no saben qué librerías de
00:29:07
terceros estamos teniendo no saben Cómo
00:29:11
es el proceso de desarrollo o quién está
00:29:14
remediando no lo saben tienen algunos
00:29:17
indicadores pero no lo ya
00:29:20
qué te entrega Veracruz
00:29:23
qué le entrega alciso visibilidad
00:29:26
visibilidad para conocer
00:29:29
Cuántas lenguajes tienen De qué se
00:29:33
tratan estos lenguajes Cuáles son los
00:29:35
más vulnerables dónde están empezando la
00:29:39
remediaciones Cuáles son el inventario
00:29:41
de librerías de tercero que tienen Cómo
00:29:44
van el análisis de los sitios web ya
00:29:47
entonces le está entregando una serie de
00:29:51
dashboard con información que es
00:29:54
sumamente importante para los hizo
00:29:57
tenerla hoy en día ya porque no pueden
00:30:01
estar ajenos a este proceso de
00:30:03
desarrollo seguro ni los desarrolladores
00:30:05
ni en producción ni ni los hizo tienen
00:30:10
que trabajar en conjunto y yo no puedo
00:30:12
trabajar en conjunto si tengo todo por
00:30:14
separado Entonces qué mejor que tener
00:30:19
los perfiles adaptados las políticas
00:30:22
esta
00:30:24
nuestro inventario de trabajo y además
00:30:27
puedo hacer hasta comentarios dentro de
00:30:30
la misma plataforma Es que ayer teníamos
00:30:34
una conversación porque me decían bueno
00:30:36
y si y si el desarrollador me comenta
00:30:39
como que esto es un falso positivo y yo
00:30:43
en qué me baso y me preguntaba el sismo
00:30:46
en qué me baso para decir sí o no Porque
00:30:49
en la actualidad lo que estamos
00:30:52
trabajando es que yo le digo alciso al
00:30:55
al desarrollador si tú crees que esto es
00:30:57
una vulnerabilidad un falso positivo
00:30:59
Bueno yo voy a dejar aquí anotado que es
00:31:03
tu riesgo no le dije yo no
00:31:08
Porque ahora tú vas a tener la evidencia
00:31:11
y vas a tener el informe que te dice
00:31:15
esta vulnerabilidad
00:31:17
impacta o no impacta en el negocio
00:31:21
con evidencia no con supuestos o yo me
00:31:24
imagino que no con evidencia con
00:31:27
documentos y tú puedes responderle
00:31:29
dentro de la misma plataforma
00:31:32
Sí debes resolver esta vulnerabilidad o
00:31:35
realmente no no es necesario marquemosla
00:31:39
como un falso positivo entonces
00:31:41
dejémosla ahí porque es adaptado a lo
00:31:45
que yo necesito y eso quién va en dónde
00:31:47
va a quedar en el informe en el informe
00:31:51
van a estar esos comentarios Entonces
00:31:53
tenemos díganme eso mejora o no mejora
00:31:57
el proceso Entonces no quiero que me
00:32:01
vuelvan a decir nuestros Partner es que
00:32:04
Vera con descaro porque entonces no
00:32:07
asistieron a este webinar nos vamos a
00:32:10
enterar
00:32:13
tenemos mucha experiencia trabajamos en
00:32:16
Banco Santander trabajamos en Cruz Verde
00:32:19
trabajamos en Banco bci estamos con
00:32:23
financiera compartamos en Perú
00:32:25
trabajamos en bolsa de Santiago tenemos
00:32:28
experiencia en grandes plataformas
00:32:30
pequeños procesos hemos empezado hoy
00:32:33
partido con muchos clientes que dicen Sí
00:32:37
yo tengo doscientas aplicaciones
00:32:40
pero tengo un proceso lento Todavía no
00:32:44
he pasado a procesos ágiles y me
00:32:47
gustaría empezar con poco empecemos con
00:32:50
poco para que vayan entendiendo Cómo es
00:32:53
el proceso en el día a día y para que
00:32:56
vayan entendiendo Cómo mejorar esto lo
00:33:00
hemos hecho hemos empezado con
00:33:02
plataformas pequeñas y hemos crecido en
00:33:05
el tiempo si lo podemos hacer para qué
00:33:08
se van a montar en un auto si apenas
00:33:12
saben pedalear en una bicicleta
00:33:14
empecemos trabajando poco a poco
00:33:17
creciendo y creciendo y creciendo Y
00:33:20
crezcamos juntos de la mano ya nuestra
00:33:24
experiencia nos dice que en compañía de
00:33:27
nosotros o en compañía de las personas
00:33:30
de veraco que están muy disponibles para
00:33:32
para reuniones podemos trabajar este
00:33:36
este estos temas
00:33:39
tenemos integraciones de todo tipo
00:33:41
tenemos integraciones para desarrollos
00:33:45
ágiles que van con unas metodología muy
00:33:47
muy rápidas y con con unos procesos
00:33:50
bastante automatizados lo podemos hacer
00:33:53
pueden tener claro que todas estas
00:33:56
integraciones vienen sin costo
00:33:59
únicamente cobramos por aplicación
00:34:04
entonces resumiendo
00:34:06
cobertura de todo el ciclo de desarrollo
00:34:09
diferentes lenguajes de desarrollo más
00:34:12
del 90% más del 90% de los lenguajes que
00:34:15
se utilizan hoy en día
00:34:18
plataformas mejor trabajar una
00:34:22
plataforma Sas porque una plataforma on
00:34:25
Premium ustedes saben que tienen que
00:34:27
tener configuraciones adicionales
00:34:28
espacio y un montón de trabajo que nadie
00:34:31
quiere tener la plataforma Sas vive
00:34:34
actualizada Le puedes entregar el
00:34:37
usuario como hoy en día están muchos
00:34:39
desarrolladores trabajando
00:34:41
externos de la empresa de fábricas de
00:34:45
desarrollo tengo personas que están en
00:34:48
el extranjero inclusive podemos trabajar
00:34:51
con una plataforma mucho mejor adaptada
00:34:55
integraciones en el desarrollo incluidas
00:34:58
que que vienen dentro del proceso y un
00:35:01
enfoque
00:35:03
orientado a resultados a tener la
00:35:07
evidencia de las vulnerabilidades este
00:35:10
tema de tener Ya mi mi inventario de
00:35:14
lenguajes maravilloso y mi inventario de
00:35:17
módulo de terceros mis unas
00:35:21
visualizaciones bastante entretenidas
00:35:23
Entonces los dejo con Juan Pablo para
00:35:26
que les muestre la plataforma y sepan de
00:35:30
qué estamos hablando para que vean Cómo
00:35:32
cómo es la visual y de que Y de qué se
00:35:36
trata
00:35:38
ya preguntas hasta acá
00:35:47
Perfecto perfecto puros buenos
00:35:50
comentarios muchachos Muchas gracias
00:35:54
Hola buen día a todos me escuchó sí Juan
00:35:58
Pablo Te estamos escuchando
00:36:01
voy a compartir mi pantalla Disculpen
00:36:05
tenemos una pregunta en el chat nos
00:36:07
preguntan sobre integraciones con
00:36:14
ya okay Bueno para para esos efectos
00:36:18
cuenta con una Api la cual obviamente
00:36:21
está debidamente documentada y a través
00:36:25
de esta integración cierto se puede
00:36:28
sacar información para retroalimentar
00:36:30
cierto estos sistemas externos que
00:36:33
que quizás puedan necesiten cierta
00:36:36
información a través de una consulta en
00:36:38
específico y a través de esa Api cierto
00:36:40
se puede realizar esa integración pues
00:36:44
normalmente lo que yo entiendo con un
00:36:47
cien es que es un correlacionador de
00:36:49
eventos ya Entonces
00:36:52
digamos que son áreas diferentes de la
00:36:56
infraestructura si bien es cierto
00:36:58
hubiera con genera logs y esos looks
00:37:01
pueden alimentar este cien cierto y y
00:37:04
pueden el cien correlacionar eventos no
00:37:08
va muy enfocado para esa área ya
00:37:11
lo interesante es hablar del proceso de
00:37:15
desarrollo seguro es hablar de cómo la
00:37:19
instancia de seguridad en el código se
00:37:22
pueden mejorar en el tiempo
00:37:27
Juan Pablo estamos viendo tu pantalla ya
00:37:30
okay
00:37:31
Bueno como comentamos en la plataforma
00:37:35
es cierto Está en la nube Entonces al
00:37:38
momento de yo poder acceder basta con
00:37:41
que ingrese con mi usuario y
00:37:44
de acuerdo a los permisos que yo posee
00:37:47
hacer como usuario voy a poder ejecutar
00:37:50
ciertas acciones dentro de la plataforma
00:37:52
entonces acá
00:37:55
ya me encuentro dentro de un perfil de
00:37:58
aplicación
00:37:58
donde siempre
00:38:02
por decirlo de alguna forma este perfil
00:38:05
de aplicación
00:38:06
sigue cierto la nos ayuda a seguir la
00:38:10
trazabilidad en cuanto a la seguridad se
00:38:13
está todo el ciclo de desarrollo seguro
00:38:15
del del aplicativo y en cuanto a los
00:38:18
análisis que yo ejecute dentro de ese
00:38:21
en este momento
00:38:22
este aplicativo en particular cierto yo
00:38:26
realicé lo que es un policía
00:38:29
como indica cada cierto muestra un Job
00:38:32
ya que es a raíz de una integración
00:38:35
dentro de un país plan de desarrollo
00:38:37
donde básicamente
00:38:39
ejecuto este país cierto el proyecto el
00:38:43
desarrollador ya lo entregó en este
00:38:44
repositorio cierto de código que también
00:38:47
está en la nube de Big Baker entonces
00:38:49
acá en esa ejecución el proyecto se
00:38:53
empaqueta
00:38:55
cierto o se compila como se menciona o
00:38:59
lo que coloquialmente situado dentro de
00:39:01
lo que es el desarrollo y este compilado
00:39:05
en este caso es un es un Java cierto un
00:39:08
proyecto en Java se envía hacia la
00:39:10
plataforma
00:39:12
y todo esto a través de esa
00:39:14
automatización
00:39:15
Entonces ya acá nosotros podemos ver en
00:39:18
una primera instancia el resultado de
00:39:20
ese policía scan donde obviamente no
00:39:23
pasó cierto dentro de la política que yo
00:39:27
definí dentro de las más restrictivas
00:39:29
cierto que es una very y dada la
00:39:33
cantidad de defectos que vamos a
00:39:34
observar en o más adelante cierto al ver
00:39:37
el reporte en la plataforma
00:39:39
este aplicativo no pasa el policía es
00:39:42
cáncer y obviamente no puede salir a
00:39:44
producción Eso es en una primera
00:39:46
instancia entonces acá dentro de también
00:39:48
del perfil de Aplicación como es este
00:39:50
contenedor donde podemos ver toda esa
00:39:53
trazabilidad acá Contamos con otros
00:39:55
controles
00:39:56
que nos ayudan a la administración de
00:39:59
los defectos
00:40:00
también cuenta con una consola donde yo
00:40:02
puedo
00:40:03
proponer cierto una mitigación marcar un
00:40:07
falso positivo
00:40:08
y a través de esta consola se documentan
00:40:11
cierto esas dichas acciones y nosotros
00:40:13
también las podemos descargar en el
00:40:14
informe eso también lo voy a mostrar con
00:40:16
un ejemplo que yo poseo en en un informe
00:40:19
cierto de pruebas que he ejecutado
00:40:22
dentro de la plataforma
00:40:25
Entonces ya basándonos en entender qué
00:40:29
es lo que es un perfil de aplicación
00:40:31
cierto dentro del mismo nosotros
00:40:34
Contamos con 25 zambos
00:40:38
que son Por decirlo de alguna forma mini
00:40:41
perfiles que nos permiten analizar
00:40:46
una parte del aplicativo cierto como
00:40:49
puede ser un módulo que puede estar
00:40:52
enfocado quizás en alguna funcionalidad
00:40:54
puede ser un calendario cierto que se
00:40:57
trabaja de forma independiente puede ser
00:41:01
quizás un módulo de chat cierto que
00:41:04
también lo descargan cierto lo los
00:41:07
desarrolladores lo trabajan de manera
00:41:09
interna como parte de un equipo de un
00:41:13
y en estos entornos que son los sandbox
00:41:16
ellos pueden trabajar de manera aislada
00:41:18
dentro del perfil de aplicación para
00:41:20
observar los resultados en cuanto a
00:41:22
seguridad cierto y una vez ellos
00:41:24
terminen su desarrollo puedan compilar
00:41:27
este aplicativo final y lanzarlo lo que
00:41:31
es el policía antes de enviar la
00:41:32
producción eso más menos puede ser un
00:41:35
flujo cierto de de desarrollo seguro
00:41:39
cierto y desde acá nosotros podemos ver
00:41:42
la trazabilidad
00:41:44
entonces acá por ejemplo yo no tengo
00:41:46
ningún sandbox creado
00:41:47
ellos bastante simple basta con darle
00:41:51
clic cierto acá al crear un sandbox que
00:41:53
es un entorno privado en este caso le
00:41:57
voy a agregar la fecha al nombre por
00:41:59
defecto
00:42:00
para poder identificarlo posteriormente
00:42:09
Entonces al momento de crearlo
00:42:15
acá podemos ver que se creó el el
00:42:17
sandbox cierto yo ingreso
00:42:20
y ya observo dentro de mi perfil de
00:42:22
aplicación que me encuentro dentro de
00:42:25
mis ambos que es mi perfil de prueba y
00:42:29
ya puedo lanzar lo que es un
00:42:32
entonces acá como parte de las
00:42:34
configuraciones básicamente está el
00:42:36
nombre cierto en este caso
00:42:40
la la agrega algún descriptivo adicional
00:42:43
puedo seleccionar en este caso la fase
00:42:46
de este desarrollo
00:42:49
junto a la fecha para poder obtener el
00:42:51
informe y en este caso voy a seleccionar
00:42:54
el autoescant es una funcionalidad que
00:42:57
me permite al momento de yo subir cierto
00:42:59
este paquete este empaquetado tanto de
00:43:02
mi código Al momento de finalizar esta
00:43:05
este applot cierto automáticamente pasa
00:43:07
la fase de análisis y ejecute cierto el
00:43:10
análisis con el motor de Veracruz ya en
00:43:13
la nube entonces acá guardo
00:43:17
y me permite subir mi en este caso mi
00:43:19
archivo entonces si yo me dirijo
00:43:24
y apartado donde yo poseo
00:43:29
mi mis proyectos cierto en este caso voy
00:43:33
a subir lo que es un binario como vemos
00:43:36
acá tengo un punto War Y eso es un
00:43:40
proyecto compilado cierto en binario
00:43:45
lo subo cierto ya se cargó Y le doy a
00:43:49
next para que ejecute digamos el
00:43:52
prescant donde básicamente lee el
00:43:55
proyecto
00:43:56
el motor entiende las dependencias del
00:43:59
mismo
00:44:00
como los módulos internos que posea para
00:44:03
posteriormente
00:44:05
lanzar lo que es el scan de esos módulos
00:44:07
que puede reconocer y en esta esta fase
00:44:10
es súper importante ya que al momento de
00:44:13
de lanzar siempre un scan cierto
00:44:18
puede indicarnos si es que el código
00:44:21
tiene algún tipo de problema ya sea no
00:44:24
compile cierto o
00:44:26
sea incapaz de leer algún módulo interno
00:44:29
para poder realizar lo que es el
00:44:31
análisis entonces acá en esta instancia
00:44:33
donde nos muestra cierto esta
00:44:34
información
00:44:36
Entonces ya
00:44:38
regresando a lo que es el perfil
00:44:43
que en este caso
00:44:47
voy a regresar desde acá
00:44:51
mis perfiles Bueno voy a ir al Home
00:44:56
le dijo al Home vuelvo a entrar a mi
00:44:59
perfil
00:45:04
cierto acá el sandbox está trabajando de
00:45:07
manera independiente mi perfil de pegas
00:45:09
para ver la trazabilidad de ese módulo
00:45:12
y bueno me voy a dirigir a ver el
00:45:14
reporte a la plataforma
00:45:16
donde en este caso ya lo pasé cierto lo
00:45:20
que es un policía cercano entonces la
00:45:23
plataforma ya nos entrega a modo resumen
00:45:25
cierto un gráfico donde puedo ver los
00:45:28
niveles de impacto y ver cuál es el que
00:45:31
va a predominando en cuantas fallas
00:45:34
como también esta tabla que me permite
00:45:36
ya ver el detalle cierto en un detalle
00:45:38
inicial en cuanto al al análisis que yo
00:45:42
ejecuté en este caso es parte del
00:45:43
Análisis estático con su cantidad de
00:45:45
efectos acá podemos ver y cierto por la
00:45:48
cantidad que son cuatro acá vemos los
00:45:51
medios que va predominando una cantidad
00:45:53
de treinta y ocho esto es a modo resumen
00:45:57
ejecutivo cierto obviamente acá nos
00:46:00
entrega las indicaciones y la plataforma
00:46:03
se encuentra en inglés pero yo la puedo
00:46:06
Traducir perfectamente con el
00:46:08
complemento de Chrome acá traducir al
00:46:10
español y ya puedo leer sin que se
00:46:13
deforme cierto o tenga algún tipo de
00:46:15
problema en la plataforma en español sin
00:46:17
problema
00:46:19
entonces acá encontramos controles como
00:46:22
las las políticas esto es importante
00:46:25
para
00:46:26
para aquellas personas que ven el tema
00:46:29
de la de la seguridad donde acá
00:46:32
yo evalúe este aplicativo cierto dentro
00:46:35
de la política más restrictiva que en la
00:46:38
más alta
00:46:40
y dada lo respectivo cierto en cuanto a
00:46:45
severidad
00:46:48
que evalúa cierto el aplicativo y nos
00:46:51
entrega la cantidad de efectos acá la la
00:46:54
evaluó en la más baja cierto y encontró
00:46:57
un total de bueno el score que no sirve
00:46:59
como ver el montaje cierto de evaluación
00:47:02
hay un 71 entonces obviamente no pasa
00:47:05
producción
00:47:07
y ya como parte de los hallazgos Siempre
00:47:10
acá nos indica el detalle cierto de el
00:47:14
resumen en cuanto al esfuerzo para poder
00:47:17
nosotros entregar un plan de remediación
00:47:20
como también el detalle de los defectos
00:47:22
encontrados y siempre estos van
00:47:25
acompañados cierto de con sus enlaces de
00:47:27
referencia si yo cliqueo
00:47:31
digamos voy hacia la documentación
00:47:32
oficial del defecto y básicamente
00:47:37
la generalidad de los motores que puedan
00:47:41
que exploren cierto aquellos defectos
00:47:44
aquellas brechas de seguridad cierto
00:47:47
se van a los estándares como puede ser
00:47:49
acá el
00:47:51
w e y siempre la documentación está en
00:47:55
inglés entonces acá encontramos
00:47:58
ciertas referencias de los lenguajes
00:48:00
ejemplos de codificación segura podemos
00:48:03
ver también los Cape que siempre están
00:48:06
relacionados con digamos con ese colling
00:48:09
cierto tipo de defectos Entonces esto
00:48:11
nos sirve para
00:48:13
conocer sobre los defectos que están en
00:48:16
nuestro código como también conocer las
00:48:20
posibles mitigaciones o potenciales
00:48:22
mitigaciones cierto
00:48:25
Y eso es adicional a también a lo que
00:48:27
recopila la la plataforma ya que esta
00:48:31
cierto también cumple la función de
00:48:33
entregarlos
00:48:36
esta esta columna de explotabilidad que
00:48:39
es bastante importante donde acá
00:48:42
dada la cantidad de efectos cierto puede
00:48:45
ser un factor para tomar una decisión de
00:48:46
qué defecto atacar primero acá vemos que
00:48:49
esto es digamos neutral Entonces estos
00:48:53
pueden esperar un poco y puedo dar
00:48:55
prioridad a unos que sí sean o tengan
00:48:57
una probabilidad de ataques entonces acá
00:49:01
también adicionalmente dentro del del
00:49:03
módulo en este caso que este es mi
00:49:06
archivo que yo subí cierto me entrega la
00:49:08
línea de código vulnerable Entonces ya
00:49:11
con todas estas referencias yo sé dónde
00:49:13
atacar y obviamente como los
00:49:15
desarrolladores Generalmente reutilizan
00:49:18
el código
00:49:19
lo van reutilizando o como se dice
00:49:22
coloquialmente hacen un copypaste de
00:49:25
este acá vemos que se afectan distintas
00:49:28
líneas de código
00:49:29
cierto pero es el mismo defecto entonces
00:49:32
ver acop nos ayuda
00:49:35
a agrupar cierto la solución y nos ayuda
00:49:40
a optimizar el esfuerzo ya con esta
00:49:42
información
00:49:46
y bueno adicionalmente
00:49:49
como lo comentaba Adriana cierto lo los
00:49:52
usuarios que interactúan dentro de la
00:49:54
plataforma tienen sus permisos cierto
00:49:56
sus roles donde existe un rol de digamos
00:50:01
de aprobador cierto y un rol de
00:50:04
mitigador
00:50:06
y básicamente estos roles
00:50:08
frente a la información que nosotros
00:50:10
podemos
00:50:14
cierto leer acá Este aprobador o este
00:50:18
persona que propone algún tipo de acción
00:50:21
puede quizás
00:50:24
decirnos que es un falso positivo
00:50:26
Entonces es el desde acá agrega ese
00:50:29
comentario cierto lo propone y la
00:50:32
persona que está a cargo de aprobar ese
00:50:34
tipo de acciones de que sabemos que la
00:50:36
marca de un falso positivo puede hacer
00:50:38
crítica cierto en cuanto a lo que es
00:50:41
gestión de defectos la plataforma de
00:50:44
Vera se encarga de que esto se documente
00:50:47
cierto para que no queden en el olvido y
00:50:49
se pueda seguir la trazabilidad cierto
00:50:51
de de estos hechos que pueden ser
00:50:54
importantes y a futuro pueden impactar
00:50:56
cierto este aplicativo siempre está en
00:50:58
producción
00:50:59
esto lo vamos a ver en un informe en
00:51:01
este perfil de aplicación no tengo esos
00:51:03
comentarios pero en el informe que les
00:51:05
voy a mostrar si los tengo
00:51:07
Entonces ya viendo lo que es el perfil
00:51:10
de aplicación cierto y viendo los
00:51:11
resultados acá
00:51:13
me voy a dirigir a lo que es mi informe
00:51:16
en este caso
00:51:19
acá dentro de los metadatos cierto o la
00:51:22
información que yo yo pude traer de la
00:51:24
plataforma es un informe detallado que
00:51:26
trae todos los resultados entonces acá
00:51:28
me muestra cierto el resumen ejecutivo
00:51:30
la política con cuál fue evaluado en una
00:51:33
primera instancia como el gráfico con
00:51:36
con el detalle de qué defecto está
00:51:39
impactando cierto en mayor cantidad este
00:51:41
aplicativo
00:51:43
podemos ver la trazabilidad en cuanto a
00:51:47
los tipos de análisis como mencioné en
00:51:49
este proceso de
00:51:51
de desarrollo seguro cierto donde se
00:51:55
realizó un análisis estático cierto este
00:51:57
empaquetado o sea Perdón este proyecto
00:52:00
y posteriormente se publicó cierto y a
00:52:03
través de su URL que fue el digamos se
00:52:07
realizó un análisis das
00:52:09
y acá nos muestra la trazabilidad en
00:52:11
este caso el modelo es plano ya que
00:52:14
al momento de encontrar los defectos en
00:52:17
este análisis estático y publicar este
00:52:19
aplicativo obviamente no se remedió
00:52:21
Ninguno de los defectos
00:52:23
que ya se informó en este en este
00:52:27
análisis estático y la tendencia es a
00:52:30
bajar un poco ya que al momento de
00:52:32
publicarlo se entiende que
00:52:35
según el entorno gráfico del aplicativo
00:52:38
cierto con el código interno
00:52:42
que maneja ciertas acciones cierto de
00:52:46
del aplicativo se unen estas dos estas
00:52:48
dos partes del código se publica cierto
00:52:50
a través de la URL y aparecen nuevos
00:52:53
defectos de seguridad
00:52:54
entonces acá Bueno vemos el resumen
00:52:56
cierto Esto fue un aplicativo en php en
00:53:00
este caso se sube un empaquetado en sí
00:53:03
es el proyecto que nosotros publicamos
00:53:05
cierto en el servidor y acá nos entrega
00:53:07
el resumen con lo con los defectos
00:53:10
también con nivel de impacto
00:53:14
y adicionalmente voy a ir un poco más
00:53:17
abajo vemos el detalle
00:53:19
cierto que nosotros podemos exportar acá
00:53:21
agrupando siguiendo la lógica de la
00:53:23
plataforma agrupando estos defectos
00:53:25
cierto con el detalle como la
00:53:28
recomendaciones para poder mitigar
00:53:30
ciertos subsanar lo que es el defecto
00:53:31
podemos ver en las líneas de código
00:53:34
también con esta referencia
00:53:37
y ya
00:53:39
dirigiéndome más menos hacia el final
00:53:43
cierto encontramos los comentarios
00:53:45
que también nos sirve para seguir esa
00:53:49
trazabilidad en cuanto a la marca de un
00:53:51
falso positivo o proponer ciertas
00:53:53
acciones frente a los defectos que
00:53:56
nosotros estamos
00:53:57
encontrando en nuestro podio en este
00:54:00
caso acá en la explotabilidades Es
00:54:02
probable entonces acá se está
00:54:05
proponiendo la acción de poder revisar
00:54:06
ciertas
00:54:09
como acá también podemos ver no sé la
00:54:12
marca de un falso positivo acá también
00:54:14
esto se documenta
00:54:20
entonces acá nosotros al ver la
00:54:22
trazabilidad adicionalmente cuando
00:54:25
nosotros podemos ver cierto el el
00:54:29
detalle del aplicativo y subimos cierto
00:54:32
lanzamos un policía scan podemos ver
00:54:34
aquellas librerías de terceros en
00:54:36
paralelo cierto este proyecto
00:54:39
posee librerías de tercero entonces acá
00:54:42
como vemos en una primera instancia
00:54:44
vemos que está hay librerías
00:54:46
relacionadas a los
00:54:48
Y contiene defectos Entonces desde acá
00:54:51
nosotros vemos Esa esa trazabilidad
00:54:53
adicional cierto y esto es bastante
00:54:57
importante Ya que la plataforma nos
00:55:01
entrega aquellas versiones ya fueron
00:55:03
subsanados estos defectos
00:55:06
y nosotros podemos ubicarnos cierto En
00:55:08
dónde estamos acá en cuanto a cantidad
00:55:11
donde podemos ver el detalle de de
00:55:15
aquellos defectos de seguridad cierto
00:55:17
con el estándar cierto nivel de impacto
00:55:21
problemas de licencia cierto acá nos
00:55:24
indica todo toda esa información Creo
00:55:26
que creo que ya estamos más o menos
00:55:29
dentro del tiempo no sé si hasta acá
00:55:31
existe algunas dudas o consultas que
00:55:33
podamos resolver
00:55:38
Sí hay algunas dudas acá
00:55:42
nos dejan
00:55:48
si hay integración con otros tipos de
00:55:52
tecnologías como raps que no se vean en
00:55:54
la presentación
00:55:57
el Run Time aplication self protection
00:56:00
es otra área nosotros nos integramos con
00:56:03
hiperba como
00:56:07
como el único raps que hasta el momento
00:56:10
tenemos como reconocido para hacer la
00:56:12
integraciones ya
00:56:14
es proceso es posible ver el proceso
00:56:18
desde el inicio Cómo se integra se
00:56:20
agrega se genera el informe eso lo
00:56:23
podemos ver en privado con un cliente o
00:56:26
con un canal que desea ver digamos una
00:56:32
demo más acotada Igual vamos a tener
00:56:35
otro webinar donde nos vamos a enfocar
00:56:38
más en lo que es la plataforma y las
00:56:41
integraciones Juan Pablo va a hacer esto
00:56:45
los score son fijos o pueden
00:56:48
personalizarse de acuerdo a los niveles
00:56:51
de riesgo de cada cliente no los score
00:56:54
son fijos los saca la plataforma ya
00:56:59
claro ahí en ese caso Bueno yo posee un
00:57:03
documento bastante interesante donde se
00:57:05
explica toda la metodología cierto para
00:57:08
poder llegar cierto a esas puntuaciones
00:57:10
y los score que entrega la plataforma ya
00:57:13
que todo esto está documentado
00:57:15
obviamente está en español y yo los
00:57:17
puedo compartir sin ningún problema
00:57:20
el informe es posible personalizar con
00:57:23
Logos o de mensaje de acuerdo al cliente
00:57:26
que se implemente no
00:57:28
el informe viene de veraco se saca en la
00:57:33
plataforma y no es customizable no es no
00:57:37
se le pueden agregar logos
00:57:43
se puede ver un ciclo de vida cerca de
00:57:46
la solución de vulnerabilidades hasta su
00:57:48
solución eso ya se tendría que hacer en
00:57:51
una demo que se haga para canal O para
00:57:55
un cliente ahí podemos hacer un un
00:57:59
análisis ver el principio el fin se
00:58:01
pueden hacer pruebas de concepto con
00:58:04
clientes ya trabajemos en en Mira más
00:58:10
que en tener la información trabajemos
00:58:12
en abrir las puertas con los clientes
00:58:15
presentar estas soluciones comenzar el
00:58:19
proceso de explicar lo que es desarrollo
00:58:22
seguro y nos pueden pedir ayuda a
00:58:26
nosotros en cpn net me pueden a pedir
00:58:28
ayuda a Sergio Carranza le pueden pedir
00:58:31
ayuda a Oscar Rodríguez que son las
00:58:34
personas de veraco de la región para que
00:58:36
los ayuden en cualquier presentación
00:58:38
dimensionamiento ayudas con clientes ya
00:58:42
Nosotros con Juan Pablo también hacemos
00:58:46
presentaciones comerciales y
00:58:47
demostraciones de la plataforma los
00:58:50
guiamos en las pruebas de concepto Ya
00:58:52
Muchas gracias a todos por su mensaje de
00:58:55
apoyo que colocaron en los chat Muchas
00:58:58
gracias a todos por participar aquí en
00:59:01
esta sala
00:59:03
Esperamos que puedan participar en
00:59:06
nuestra siguiente webinar que es este
00:59:08
viernes sobre una plataforma para
00:59:12
go to resolve que es una plataforma para
00:59:16
soporte remoto ya
00:59:20
con tickets con informe de de mejoras
00:59:24
con una plataforma bastante entretenida
00:59:28
tiene hasta autoparchado tiene principio
00:59:31
decir otras Así es que si se quieren
00:59:34
enterar De qué se trata nos invitamos a
00:59:36
que se inscriban en nuestro próximo
00:59:37
webinar que es el viernes a esta misma
00:59:40
hora
00:59:41
Ya Muchas gracias a todos Un abrazo
00:59:44
Cualquier cosa ahí quedó mi correo
00:59:46
electrónico me buscan por linkedin lo
00:59:50
que necesiten Nos contactamos Cuídense
00:59:53
mucho muchas gracias que estén muy bien
00:59:56
con gusto