Nieuwe ontwikkelingen in statische analyse

Static application security testing (SAST) is een methode om automatisch kwetsbaarheden in software te ontdekken zonder die software te draaien. Het gebruik van SAST-tools wordt door vrijwel alle richtlijnen voor veilige softwareontwikkeling voorgeschreven.

Maar hoe maak je een keuze uit de grote verscheidenheid aan beschikbare SAST-tools? En hoe waardeer je de bewering van ontwikkelaars van moderne tools dat die effectiever zouden zijn dan meer gevestigde tools? Tegen welke obstakels lopen ontwikkelaars in de praktijk aan bij het gebruik van SAST-tools?

Het NCSC onderzocht deze vragen aan de hand van een literatuuronderzoek en een enquête onder 44 Nederlandse softwareprofessionals.