Skip to content

DefectDojo

DefectDojo logo

OWASP DefectDojo es una herramienta DevSecOps para la gestión de vulnerabilidades. Proporciona una plataforma única para orquestar pruebas de seguridad end-to-end, seguimiento de vulnerabilidades, deduplicación, remediación e informes.

DefectDojo es un proyecto Flagship de OWASP y está bien establecido; el proyecto se inició en 2013 y ha estado en desarrollo/lanzamiento continuo desde entonces.

¿Qué es DefectDojo?

DefectDojo es una herramienta de gestión de vulnerabilidades de código abierto que optimiza el proceso de pruebas mediante la integración de plantillas, generación de informes, métricas y herramientas de autoservicio de línea base.

DefectDojo optimiza el proceso de prueba a través de varios 'modelos' que un administrador puede manipular con código Python. Los modelos principales incluyen:

  • compromisos (engagements)
  • pruebas
  • hallazgos (findings)

DefectDojo tiene modelos complementarios que facilitan:

  • métricas
  • autenticación
  • generación de informes
  • herramientas

Una buena introducción a DefectDojo es la discusión de We Hack Purple entre Matt Tesauro y Tanya Janca.

¿Por qué usarlo?

DefectDojo se integra con muchas herramientas de código abierto y propietarias/comerciales de varios dominios:

  • Pruebas de Seguridad de Aplicaciones Dinámicas (DAST)
  • Pruebas de Seguridad de Aplicaciones Estáticas (SAST)
  • Análisis de Composición de Software (SCA)
  • Listas de Materiales de Software (SBOMs)
  • Escaneo de infraestructura y APIs

También se integra con la herramienta de modelado de amenazas Threagile, y con el tiempo estarán disponibles más integraciones con herramientas de modelado de amenazas.

Cómo usarlo

Probar o instalar DefectDojo es muy fácil siguiendo las instrucciones de instalación; la forma recomendada de ejecutar DefectDojo es usando un contenedor.

Para configurar una instancia de DefectDojo, siga las instrucciones de docker compose junto con los scripts asociados que manejan las dependencias, configuran la base de datos, crean usuarios, etc. Consulte la documentación de DefectDojo para obtener más información sobre implementaciones alternativas, configuración, uso e integraciones.

Referencias

Traducción de versión original en inglés.

La Guía para Desarrolladores de OWASP es un esfuerzo comunitario; si hay algo que necesita cambiarse, cree un issue o edítelo en GitHub.