Nuestro módulo de Seguridad de Apps te permite conectar una variedad de sistemas para monitorearlos y garantizar que todos cuenten con las configuraciones de seguridad adecuadas para proteger tu información, e incluso para robustecer el cumplimiento de tu programa de seguridad ✅⭐.
Para ir a este módulo solo debes ir a “Seguridad de apps” en la barra lateral izquierda dentro de nuestra plataforma:
Esto te mostrará las herramientas que tenemos disponibles para su conexión. Y solo debes pasar el cursor sobre la que desees conectar:
💡 Recuerda que sólo el administrador de la aplicación puede conectarse, si una persona distinta al administrador se conecta, la herramienta te indicará que estamos conectados, pero sin escanear nada.
Conectar Bitbucket
Al seleccionar Bitbucket dentro de la plataforma, te aparecerá una nueva página en la cual, si no estás logueado, te pedirá iniciar sesión. Con esto, podrás ver el detalle de los permisos necesarios para el escaneo.
Luego de leerlos y comprenderlos, puedes dar clic en “Autorizará el acceso”:
Después de esto, serás devuelto al monitoreo de Hackmetrix 🚀.
¿Qué se monitorea de la herramienta?
Al conectar esta herramienta podrás monitorear que:
Debe existir un proceso de code review: Este test verifica que tienes un proceso de code review configurado.
El sistema solo cuenta con los usuarios administradores indispensables: Este test evalúa si el sistema solo cuenta con los usuarios administradores necesarios (2) y no hay usuarios innecesarios con privilegios de administrador.
💡 Si para tus operaciones es necesario tener más de 2 usuarios administradores, puedes desactivar el test indicando la debida justificación.
La aplicación permite configurar MFA: Este test verifica si la aplicación permite la configuración de la Autenticación de Múltiples Factores (MFA) como una capa adicional de seguridad para los usuarios.
Los pipelines de CI deben haberse ejecutado de forma correcta: Este test verifica si los pipelines de Continuous Integration (CI) se han configurado sin errores, asegurando que el código cumple con los estándares de calidad y seguridad antes de su implementación.
Los sistemas guardan los logs de accesos que contenga al menos, el usuario, la hora, la fecha y la IP: Este test verifica si los sistemas registran logs de acceso incluyendo información esencial: usuario, hora, fecha y dirección IP.
Los sistemas guardan los logs de eventos: Este test verifica si tus sistemas están configurados para guardar registros de todo lo que sucede.
💡 Los registros o "logs" son esenciales porque te permiten ver qué acciones se han realizado en tus sistemas, ayudando a identificar y reaccionar frente a actividades sospechosas o ataques.
MFA activado en todas las cuentas: Este test verifica si la Autenticación de Múltiples Factores (MFA) está activada en todas las cuentas de usuario.
Se deben resolver todos los comentarios del proceso de code review: Este test verifica si todos los comentarios y problemas identificados durante las revisiones de código han sido adecuadamente abordados y resueltos, asegurando la calidad y seguridad del código antes de su implementación.
Todos los roles administradores cumplen con las configuraciones de seguridad: Este test verifica si todos los roles administradores están configurados para cumplir con las políticas y configuraciones de seguridad establecidas.
Información adicional 🤓
Te compartimos la versión de las API que utilizamos para la conexión:
Bitbucket: https://api.bitbucket.org/2.0 - V2
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.