Security Testing
Testing no-funcional que busca vulnerabilidades antes que un atacante: SAST, DAST, IAST, pentesting y threat modeling, anclado en estándares como OWASP Top 10 y ASVS.
Definición
El security testing evalúa la resistencia del software frente a amenazas: confidencialidad, integridad y disponibilidad. Es un requisito funcional encubierto en dominios sensibles.
Técnicas y su lugar
| Técnica | Qué es | Cuándo |
|---|---|---|
| SAST | Análisis estático del código | En desarrollo / CI |
| DAST | Análisis dinámico de la app corriendo | Pre-release / CI |
| IAST | Instrumentación en runtime | Durante pruebas |
| SCA | Análisis de dependencias | CI continuo |
| Pentesting | Ataque manual experto | Periódico / pre-release |
| Threat modeling | Diseño de amenazas (STRIDE) | En diseño |
Ancla de estándares
OWASP Top 10 prioriza riesgos; OWASP ASVS define requisitos verificables; OWASP WSTG detalla cómo probarlos. Para IA, ver el OWASP Top 10 for LLM Apps.
Grafo de conocimiento
Complementa a
Mitiga