Calidad y Seguridad con SonarQube, Bearer y OWASP ZAP

Publicado en por

Objetivos de aprendizaje:

  • Ejecutar análisis estático con SonarQube y Bearer sobre el código del taller anterior.
  • Ejecutar análisis dinámico con ZAP Baseline contra el servidor (staging/dev).
  • Priorizar hallazgos y mapearlos a riesgos (C-I-A) y controles ISO 27001/27002.
  • Dejar evidencia y métricas (Quality Gate, top issues, checklist de cabeceras/TLS).

Requisitos previos

  • Código del taller anterior
  • Docker instalado
  • Servidor de pruebas

Instalación de SonarQube

docker run -d --name sonarqube -p 9000:9000 sonarqube:community

Usuario admin
Contraseña admin

Instalación de jdk

Bearer (SAST de flujos de datos sensibles)

docker run --rm -v "$PWD":/code bearer/bearer:latest \
scan /code --format html --output bearer-report.html

Bloque DAST – OWASP ZAP Baseline

docker run --rm -u zap -v "$PWD":/zap/wrk \
ghcr.io/zaproxy/zaproxy:stable \
zap-baseline.py -t https://TU-SERVIDOR -r zap-report.html -m 5 -d

Entregables (por equipo)

  1. sonar-screenshot.png (Quality Gate).
  2. bearer-report.html.
  3. zap-report.html.
  4. matriz_hallazgos.(xlsx|md) con 5 ítems priorizados.
  5. PR con remediaciones (enlace o evidencia).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *