Security testing in software-ontwikkeling deelt in vier hoofd-disciplines. SAST (Static Application Security Testing) scant source-code op vulnerabilities. DAST (Dynamic) test draaiende applicatie tegen OWASP Top 10. SCA (Software Composition Analysis) scant third-party-dependencies. IAST plus RASP zijn moderne aanvullingen voor runtime-monitoring.
SAST-tooling en de pipeline-integratie
SonarQube. Marktleider voor SAST in mid-market. Integreert met IDE plus CI/CD.
Checkmarx SAST, Veracode, Synopsys Coverity. Enterprise SAST met sterke compliance-rapportage.
Snyk Code, GitHub Advanced Security. Cloud-native SAST voor moderne stacks.
DAST en de runtime-validatie
OWASP ZAP. Open source DAST voor mid-market plus CI-integratie.
Burp Suite Professional, Acunetix, Invicti. Commercial DAST met diepere coverage en pentester-features.
SCA en de dependency-vulnerabilities
Moderne applicaties bouwen op honderden third-party-dependencies. Snyk, Sonatype Nexus, Mend (formerly WhiteSource), Dependabot detecteren bekende vulnerabilities plus license-issues. Voor moderne DevSecOps: SCA als gate in CI/CD.
DORA en NIS2 raken security-testing
DORA (financiele sector) en NIS2 (kritieke entiteiten) leggen security-testing-eisen op aan ontwikkelingsprocessen. Per release moet aantoonbaar SAST en DAST gedraaid zijn. Plus pen-testing op grotere release-momenten.
Wat het in praktijk kost
Voor mid-market security-testing implementatie inclusief SAST plus DAST plus CI-integratie: 50.000 tot 200.000 euro. Enterprise multi-tool plus compliance-rapportage: 200.000 tot 800.000 euro plus jaarlijkse tool-licenties.
Een eerlijk gesprek vooraf aan een security-testing traject
Heeft u een lopende of voorgenomen security-testing vraag? Stuur een bericht met uw situatie in drie zinnen: stack, compliance-context en de aanleiding. Ik koppel u aan een freelance test consultant die deze combinatie uit eigen praktijk kent. Geen pitch, geen accountmanager, geen verkoopgesprek. Reactie binnen een werkdag.
Verwant: Senior Test consultant.