Recursos de Software de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST)

Hola a todos,

He estado ayudando a algunos equipos de seguridad empresarial a evaluar DAST (Dynamic Application Security Testing) plataformas que pueden escalar en entornos grandes y complejos, desde aplicaciones web hasta APIs y sistemas multi-nube. Recopilé datos del último Enterprise DAST Software Grid de G2 para ver qué plataformas los usuarios empresariales califican más alto en escalabilidad, automatización e integración continua de seguridad.

Esto es lo que destacó (basado en el orden del G2 Grid):

• Tenable Nessus – el claro líder empresarial; confiable por su amplia cobertura de vulnerabilidades, escaneo confiable a gran escala e integraciones fluidas en entornos híbridos y locales.
• Bright Security – un alto rendimiento destacado con fuertes puntuaciones de satisfacción; bien adaptado para pruebas nativas en la nube y escaneo continuo en flujos de trabajo CI/CD empresariales.
• Invicti (anteriormente Netsparker) – solución empresarial establecida conocida por su escaneo escalable, automatización y validación de vulnerabilidades basada en pruebas para minimizar falsos positivos.
• HCL AppScan – fuerte competidor para grandes empresas; ofrece capacidades combinadas de DAST, SAST e IAST con amplias características de informes y cumplimiento.
• GitLab – integra DAST directamente en los pipelines de CI/CD; una buena opción para empresas que ya aprovechan el ecosistema más amplio de DevSecOps de GitLab.

Basé esto en la satisfacción de G2, presencia en el mercado y puntuación general de G2, destacando herramientas elegidas consistentemente por los equipos de seguridad empresarial por su escalabilidad y profundidad de integración.

También veo que StackHawk y Contrast Security se mencionan frecuentemente para configuraciones empresariales modernas y enfocadas en API — ¿alguien aquí los está usando?

Hola a todos,

He estado ayudando a equipos de DevSecOps a evaluar herramientas de DAST (Pruebas de Seguridad de Aplicaciones Dinámicas) que se integran directamente en los flujos de trabajo de CI/CD, activando escaneos automáticamente después de las construcciones o implementaciones. He obtenido información del último cuadrante DAST de G2 y de las reseñas de usuarios para encontrar qué soluciones ofrecen una integración estrecha con CI/CD.

Aquí están las cinco principales (en orden de presencia/satisfacción en G2):

• Tenable Nessus: escáner insignia con robustos ganchos de automatización; soporta activadores de API y bucles de retroalimentación dentro de los pipelines de CI.
• Jit: diseñado para entornos CI/CD centrados en desarrolladores, integración fluida en el pipeline y retroalimentación rápida para los equipos de desarrollo.
• Aikido Security: más nuevo pero bien valorado por su DAST nativo de pipeline con configuración mínima y fuerte enfoque en la automatización.
• Akto: herramienta DAST orientada a API construida para microservicios y entornos CI; soporta activadores de CI y flujos de prueba automatizados.
• Astra Pentest: combina automatización con revisión manual; se integra en los pipelines de CI/CD a través de webhooks/CLI para escaneo continuo.

Basé esto en datos de satisfacción y características de G2, además de la retroalimentación de los usuarios sobre cómo cada herramienta se adapta a los flujos de trabajo de construcción/prueba/despliegue. También he escuchado cosas buenas sobre Invicti y GitLab DAST para la integración CI/CD — ¿alguien aquí los está usando? ¿Cuál ha sido la experiencia?