Anexo: Instalación de las herramientas usadas en la prueba dos (2)

E. Anexo: Instalación de las herramientas

Figura 4-89. Pantalla principal AppScan on Cloud

Luego es necesario crear una llave API para configurar la conexión desde Jenkins, ver Figura 4-90.

Figura 4-90. Creación API desde AppScan On Cloud

En Jenkins se procede a instalar el plugin “HCL_AppScan” y a crear la credencial con la llave API generada previamente. El resultado de esto se expone en la Figura 4-91 y Figura 4-92.

Figura 4-91. Instalación plugin AppScan on Cloud

Figura 4-92. Credencial para AppScan on Cloud

• Instalación Nessus

La versión usada es nessus essentials. Para descargar el ejecutable es necesario obtener un código de activación que se envía al correo corporativo registrado. Esto se puede ver en la Figura 4-93.

Figura 4-93. Registro para obtener el código de activación

El código de validación es enviado al correo registrado, ver Figura 4-94.

Figura 4-94. Código de activación

Luego se procede a la descarga del ejecutable y a la instalación de este. Como se muestra en la Figura 4-95.

Figura 4-95. Descarga e inicio de instalación

Al finalizar la instalación se procede a la configuración inicial de Nessus, donde se requiere seleccionar la versión, el código de activación y la creación del usuario y contraseña. Ver Figura 4-96.

Figura 4-96. Instalación Nessus

Cuando la instalación es exitosa se accede a la consola inicial donde se pueden visualizar los diferentes tipos de escaneo que ofrece la herramienta, como se muestra en la Figura 4-97.

Figura 4-97. Pantalla principal Nessus

• Instalación Nikto

Partiendo de la configuración y ejecución de Kali Linux en virtual box se tiene acceso a la herramienta Nikto. La versión del Kali Linux instalado y la visualización de la herramienta se pueden observar en la Figura 4-98 y Figura 4-99.

Figura 4-98. Versión Kali Linux usada

Figura 4-99. Nikto en Kali Linux

Bibliografía

[1] GCFAprendelibre, «¿Qué son las aplicaciones?,» 2020. [En línea]. Available:

https://edu.gcfglobal.org/es/cultura-tecnologica/que-son-las-aplicaciones-o-programas/1/.

[Último acceso: 20 Agosto 2020].

[2] marianogendra, «Aplicaciones Web Vs Aplicaciones de Escritorio,» 2020. [En línea]. Available:

https://www.marianogendra.com.ar/Articulos/aplicaciones-web-vs-escritorio. [Último acceso: 20 Agosto 2020].

[3] Softcorp, «Definición y cómo funcionan las aplicaciones móviles,» 2010. [En línea]. Available:

https://servisoftcorp.com/definicion-y-como-funcionan-las-aplicaciones-

moviles/#:~:text=Si%20hablamos%20de%20la%20definici%C3%B3n,informado%2C%20entre

%20otro%20universo%20de. [Último acceso: 20 Agosto 2020].

[4] J. Rojas, «Vulnerabilidades de aplicaciones web según owasp,» Universidad Piloto de Colombia, pp. 1-11, 2018.

[5] Instituto Tecnologico de Matehuala, «2.1 Arquitectura de las aplicaciones Web,» 2015. [En línea]. Available: https://programacionwebisc.wordpress.com/2-1-arquitectura-de-las- aplicaciones-web/. [Último acceso: 12 Agosto 2020].

[6] E. G. Maida y J. Pacienzia, «"Metodologías de Desarrollo de Software," Tesis Final de Licenciatura en Sistemas y Computación,» Fac. Quim. e Ing "Fray Rogelio Bacon" Pontificia Univ Católica Argentina Santa Maria de los Buenos Aires. Buenos Aires, 2015.

[7] Microsoft Azure, «¿Qué es DevOps?,» 2020. [En línea]. Available:

https://azure.microsoft.com/es-es/overview/what-is-devops/. [Último acceso: 25 Agosto 2020].

[8] M. A. B. L. Z. Mojtaba Shanin, «Continuous Integration, Delivery and Deployment: A Systematic Review on Approaches, Tools, Challenges and Practices,» IEEE Access, vol. 5, pp.

3909 - 3943, 2017.

[9] S. Pittet, «Atlassian CI/CD,» 2020. [En línea]. Available:

https://www.atlassian.com/continuous-delivery/principles/continuous-integration-vs- delivery-vs-deployment. [Último acceso: 27 Agosto 2020].

[10 ]

AWS, «¿Qué es la entrega continua?,» 2020. [En línea]. Available:

https://aws.amazon.com/es/devops/continuous-delivery/?nc1=h_ls. [Último acceso: 27 Agosto 2020].

[11 ]

E. Sánchez, «Introducción a DevOps. Qué es y cómo implementarlo,» Tribalyte Techologies, 10 Mayo 2019. [En línea]. Available: https://tech.tribalyte.eu/blog-introduccion-devops.

[Último acceso: 25 Agosto 2020].

[12 ]

K. Morales, «Ciclo de vida del DevOps,» Platzi, 2019. [En línea]. Available:

https://platzi.com/blog/ciclo-de-vida-del-devops/. [Último acceso: 25 Agosto 2020].

[13 ]

T. Gourdel, «Building a CI/CD pipeline with Talend and Azure DevOps,» 17 Abril 2019. [En línea]. Available: https://www.talend.com/blog/2019/04/17/building-a-ci-cd-pipeline-with- talend-and-azure-devops/. [Último acceso: 11 Septiembre 2020].

[14 ]

S. Vergara, «¿Implementas algún pipeline CI/CD en tu organización?,» ITDO, 2020. [En línea].

Available: https://www.itdo.com/blog/implementas-algun-pipeline-ci-cd-en-tu- organizacion/#:~:text=%C2%BFQue%20es%20un%20pipeline%20CI,del%20desarrollo%20de

%20las%20aplicaciones.. [Último acceso: 10 Septiembre 2020].

[15 ]

L. Bass, R. Holz, P. Rimba, A. B. Tran y L. Zhu, «Securing a Deployment Pipeline,» IEEE/ACM 3rd International Workshop on Release Engineering, pp. 4-7, 2015.

[16 ]

J. J. Caño Quintero, «"DevSecOps: integración de herramientas SAST, DAST y de análisis de Dockers en un sistema de integración continua", Máster en Seguridad de las TIC,» Universitat Oberta de Catalunya, Barcelona, España, 2019.

[17 ]

G. A. Gómez Zafra, «"Herramientas de prueba de seguridad de aplicaciones", Máster Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones (MISTIC),,» Universidad Oberta de Catalunya, Barcelona, España, 2017.

[18 ]

C. Paule, «"Securing DevOps - Detection of vulnerabilities in CDe pipelines", Tésis de Maestría, Institute of Software Technology Reliable Software Systems,» University of Stuttgart, Alemania, 2018.

[19 ]

S. I. Ricote, «"Seguridad en el ciclo de vida del desarrollo del software. DevSecOps", Máster Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones, Seguridad Empresarial,» Universitat Oberta de Catalunya, Barcelona, España, 2019.

[20 ]

Atlassian, «Bamboo,» 2020. [En línea]. Available:

https://www.atlassian.com/es/software/bamboo. [Último acceso: 24 Septiembre 2020].

[21 ]

Buildbot, «Buildbot The Continuous Integration Framework,» 2020. [En línea]. Available:

https://buildbot.net/. [Último acceso: 24 Septiembre 2020].

[22 ]

C. Paule, T. F. Dullmann y A. Van Hoorn, «Vulnerabilities in Continuous Delivery Pipelines? A Case Study,» IEEE International Conference on Software Architecture Companion, pp. 102-108, 2019.

[23 ]

CIC Consulting Informático, «Seguridad de la Información y Ciberseguridad ¿es lo mismo?,»

14 Enero 2019. [En línea]. Available: https://www.cic.es/seguridad-de-la-informacion-y- ciberseguridad-es-lo-mismo/. [Último acceso: 15 Julio 2020].

[24 ]

Incibe Instituto Nacional de Ciberseguridad, «Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian?,» 20 Marzo 2017. [En línea]. Available: https://www.incibe.es/protege-tu-

In document Estrategia de seguridad para el manejo de vulnerabilidades en el ciclo de integración y despliegue continúo en aplicaciones web desarrolladas bajo la metodología DevOps (página 192-200)