SAST, DAST, SCA, Pentest

Genellikle web uygulamalarında tercih edilen güvenlik önlemleri olsalar da uygulamalarımızın genel olarak güvenlik açıklarını yayına almadan hem kod düzeyinde hem de canlıya çıkmadan önce test ortamında çalışan bir versiyonunda kontrol etmeliyiz.

SAST, DAST & SCA KarşılaştırmasıKoçSistem

Kod düzeyinde uygulamalarımızın kontrolü sürecine SAST (Static Application Security Testing) araçlarıyla yapılmaktadır. (white box test yöntemi)

Sonarqube statik kod analizi yaparken güvenlik açıklarını da tespit edebilmektedir.

Çalışan bir uygulamaya dışarıdan bakarak yapılan güvenlik analizi DAST (Dynamic Application Security Testing) araçlarıyla yapılmaktadır. (black box test yöntemi)

OWASP ZAP Tool aracı ile koşan uygulamalar güvenlik açıkları yönünden test edilebilir.

Owasp Zap Nedir ?BBS Teknoloji - Yeni Nesil Teknoloji

OWASP ZAP integration with JenkinsGlobant

OWASP ZAP integration with JenkinsGlobant

Bu araçlar JENKINS ile entegre edilerek daha kolay bir şekilde süreçler yürütülebilir.

Ayrıca yazılımlarımızın bileşenlerinin analizi için SCA (Software Composition Analysis) araçları kullanılabilir. Geliştirme ve üretimde açık kaynak ve üçüncü taraf bileşen risklerini algılamak ve yönetmek için kullanılırlar. Bileşenlerimizin lisans türlerinin ne olduğu tespit ederek uyulması gereken kurallar çerçevesinde yönlendirmeler verebilirler. Bu araçlardan en bilindik olanı Blackduck yazılımıdır.

Black Duck SCA (Yazılım Bileşim Analizi) - E-Data TeknolojiE-Data Teknoloji

Tüm bu yöntemlerin dışında harici firmalara yaptıralacak Pentest analizleri ile de sistemlerimiz daha güvenli hale getirilebilir.

2024