Veilig (samen)werken in de software ontwikkelstraat (OWASP)

Tijdens de meetup van OWASP Chapter Nederland van 19 mei heeft Wibren Wiersma een presentatie gegeven over het onderzoek wat hij voor Carthago ICT heeft uitgevoerd, met betrekking tot het vergelijkingen van de verschillende SAST tooling.

๐—ฉ๐—ฒ๐—ถ๐—น๐—ถ๐—ด ๐˜€๐—ฎ๐—บ๐—ฒ๐—ป๐˜„๐—ฒ๐—ฟ๐—ธ๐—ฒ๐—ป ๐—ถ๐—ป ๐—ฐ๐—ผ๐—ฑ๐—ฒ ๐—ฟ๐—ฒ๐—ฝ๐—ผ๐˜€๐—ถ๐˜๐—ผ๐—ฟ๐—ถ๐—ฒ๐˜€

Ook is er deze avond gesproken over hoe ontwikkelaars veilig samen kunnen werken in code repositories door middel van zogeheten: Secret Scanning Solutions. Wanneer men samenwerkt binnen deze repositories bestaat er namelijk de kans dat er security gevoelige informatie zoals bijvoorbeeld API keys uitlekt. Door de inzet van deze tooling kan dit worden voorkomen. Ook hier geldt dat de juiste tooling sterk afhankelijk is van de context waarin deze wordt ingezet. 

๐—ฉ๐—ฒ๐—ฟ๐˜€๐—ฐ๐—ต๐—ถ๐—น๐—น๐—ฒ๐—ป๐—ฑ๐—ฒ ๐—ฆ๐—”๐—ฆ๐—ง ๐˜๐—ผ๐—ผ๐—น๐˜€ ๐˜ƒ๐—ฒ๐—ฟ๐—ด๐—ฒ๐—น๐—ถ๐—ท๐—ธ๐—ฒ๐—ป

Er zijn veel verschillende types SAST tools op de markt. Om hier de juiste keuze in te kunnen maken heeft Wibren een aantal van deze tools vergeleken op o.a. bruikbaarheid en ontwikkelaarsvriendelijkheid, maar ook zaken zoals overlappende rapporten tussen de tools zijn meegenomen in de vergelijking. Deze vergelijkingen zijn gemaakt door het de output te vergelijken van scans die zijn uitgevoerd op een marktklare JAVA-react webapplicatie.

Toelichting video:

De opname van de presentatie van Wibren waarin hij toelichting geeft over dit onderzoek vindt je hier:

Whitepaper downloaden:

De uitkomsten van het onderzoek & dus ook de punten waar op te letten tijdens het maken van de juiste SAST tooling zijn te vinden in ons whitepaper: https://www.carthago-ict.nl/kennisbank/2022/sast-tools-vergelijking/

Over OWASP:

Het Open Web Application Security Projectยฎ (OWASP) is een stichting zonder winstoogmerk die zich inzet voor het verbeteren van de beveiliging van software. Door middel van door de gemeenschap geleide open-source softwareprojecten, honderden lokale afdelingen over de hele wereld, tienduizenden leden en toonaangevende educatieve en trainingsconferenties, is de OWASP Foundation de bron voor ontwikkelaars en technologen om het web te beveiligen.

owasp meetup

Samenvatting:

Onderwerpen

Delen of later verder lezen?

Benieuwd wat Carthago voor jou kan betekenen?