Tijdens de meetup van OWASP Chapter Nederland van 19 mei heeft Wibren Wiersma een presentatie gegeven over het onderzoek wat hij voor Carthago ICT heeft uitgevoerd, met betrekking tot het vergelijkingen van de verschillende SAST tooling.
๐ฉ๐ฒ๐ถ๐น๐ถ๐ด ๐๐ฎ๐บ๐ฒ๐ป๐๐ฒ๐ฟ๐ธ๐ฒ๐ป ๐ถ๐ป ๐ฐ๐ผ๐ฑ๐ฒ ๐ฟ๐ฒ๐ฝ๐ผ๐๐ถ๐๐ผ๐ฟ๐ถ๐ฒ๐
Ook is er deze avond gesproken over hoe ontwikkelaars veilig samen kunnen werken in code repositories door middel van zogeheten: Secret Scanning Solutions. Wanneer men samenwerkt binnen deze repositories bestaat er namelijk de kans dat er security gevoelige informatie zoals bijvoorbeeld API keys uitlekt. Door de inzet van deze tooling kan dit worden voorkomen. Ook hier geldt dat de juiste tooling sterk afhankelijk is van de context waarin deze wordt ingezet.
๐ฉ๐ฒ๐ฟ๐๐ฐ๐ต๐ถ๐น๐น๐ฒ๐ป๐ฑ๐ฒ ๐ฆ๐๐ฆ๐ง ๐๐ผ๐ผ๐น๐ ๐๐ฒ๐ฟ๐ด๐ฒ๐น๐ถ๐ท๐ธ๐ฒ๐ป
Er zijn veel verschillende types SAST tools op de markt. Om hier de juiste keuze in te kunnen maken heeft Wibren een aantal van deze tools vergeleken op o.a. bruikbaarheid en ontwikkelaarsvriendelijkheid, maar ook zaken zoals overlappende rapporten tussen de tools zijn meegenomen in de vergelijking. Deze vergelijkingen zijn gemaakt door het de output te vergelijken van scans die zijn uitgevoerd op een marktklare JAVA-react webapplicatie.
Toelichting video:
De opname van de presentatie van Wibren waarin hij toelichting geeft over dit onderzoek vindt je hier:
Whitepaper downloaden:
De uitkomsten van het onderzoek & dus ook de punten waar op te letten tijdens het maken van de juiste SAST tooling zijn te vinden in ons whitepaper: https://www.carthago-ict.nl/kennisbank/2022/sast-tools-vergelijking/
Over OWASP:
Het Open Web Application Security Projectยฎ (OWASP) is een stichting zonder winstoogmerk die zich inzet voor het verbeteren van de beveiliging van software. Door middel van door de gemeenschap geleide open-source softwareprojecten, honderden lokale afdelingen over de hele wereld, tienduizenden leden en toonaangevende educatieve en trainingsconferenties, is de OWASP Foundation de bron voor ontwikkelaars en technologen om het web te beveiligen.