Skip to main content

DevSecOps

Application Security Testing handlar om att applikationer håller den nivå av säkerhet som förväntas från användare, kravställare och regelverk. Genom att kombinera olika tekniker för säkerhetstestning i CI/CD pipelines klargörs en helhetsbild på hur applikationen förhåller sig rent säkerhetsmässigt. Kombinerat med IDE-plugins som i realtid skannar koden medan den utvecklas med tips och exempel-kod, kan utvecklarna redan från första dagen skriva säker kod och förhindra att nya sårbarheter introduceras i samband med commits. 

Med hjälp av en en “shift-left” mentalitet där säkerhetsgranskningar flyttas fram tidigare i livscykeln (SDLC) kan säkerhetsbrister upptäckas redan vid källan och åtgärdas innan koden sätts i produktion. Resultatet leder till att sårbarheterna som upptäcks blir enklare och betydligt billigare att åtgärda, samtidigt som existerande sårbarheter sållas ut när utvecklarna börjar ta på sig säkerhetsansvaret. 

Typer av applikationstester

SAST

Static Application Security Testing är en uppsättning tekniker för att analysera en applikations källkod, bytekod och binärer för kodning samt designförhållanden som kännetecknar säkerhetsbrister. Resultaten presenteras i rapporter som kartlägger kodstycken med säkerhetsbrister, och presenterar exempel-kod för säkra implementationer. SAST-skanning analyserar en applikation i ett icke-körande tillstånd.

SCA

Software Composition Analysis används för att hantera tredjepartskomponenter eller open source komponenter. SCA-skanning kan inventera alla komponenter med öppen källkod som identifieras i applikationskoden såväl som deras direkta och indirekta beroenden av andra komponenter och deras respektive sårbarheter. Utöver det kartlägger även SCA-skanning licenser som nyttjas med varje komponent.

DAST

Dynamic Application Security Testing säkerhetstestar en webbapplikation som körs med en förinställd konfiguration, b.la. OWASP Top 10. Till skillnad från SAST har DAST-skanning ingen tillgång till källkoden, sårbarheterna som upptäcks görs genom att utföra riktiga attacker. Resultatet blir en verklighetstrogen testning som visar vilka säkerhetsbrister som angripare kan nyttja på en körande webapplikation.

Vill du veta mer?

Boka ett kostnadsfritt demo.