...
Software Bill of Materials (SBOM) en dependency management
Automatische SBOM-generatie in de CI/CD heeft als doel om een volledige en up-to-date inventaris van de software zijn afhankelijkheden op te bouwen, bijvoorbeeld door middel van tools of standaarden zoals SPDX of CycloneDX. Als in een latere fase zou blijken dat een dependency van de software een kwetsbaarheid bevat, dan kan dit vastgesteld worden en kan de dependency zo snel mogelijk gepatched worden.
Dependency scanning en tracking op basis van de SBOM-input om risico’s sneller te identificeren: voer regelmatige scans van alle externe bibliotheken en afhankelijkheden uit om te controleren op bekende kwetsbaarheden en om ervoor te zorgen dat alleen veilige versies worden gebruikt.
SAST
Static Application Security Testing (SAST) is een methode waarbij de broncode van software wordt geanalyseerd door een specifiek daarop voorziene tool om mogelijke beveiligingskwetsbaarheden op te sporen, zonder dat de code effectief uitgevoerd worden. Tools zoals SonarQube kunnen hiervoor worden ingezet, maar er zijn ook tal van gratis en open source alternatieven zoals hier gedocumenteerd door OWASP.
Code signing en verificatie
Voor het tekenen en verifiëren van code kan er gebruik worden gemaakt van NuGet bij .NET applicaties of van NPM-packages bij JavaScript om de integriteit en authenticiteit van de code te waarborgen.
...