Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

"OWASP ZAP" hernoemd naar "ZAP by Checkmarx" in alle documenten. #972

Merged
merged 1 commit into from
Nov 8, 2024
Merged
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
2 changes: 1 addition & 1 deletion Content/Maatregelen/M16/Maatregel.md
Original file line number Diff line number Diff line change
Expand Up @@ -16,7 +16,7 @@ ICTU adviseert en ondersteunt voor de genoemde taken onderstaande tools. Project
8. controleren van de configuratie op aanwezigheid van bekende kwetsbaarheden in configuratie: OpenVAS (Vulnerability Assessment System),
9. controleren op aanwezigheid van bekende kwetsbaarheden in externe software: OWASP (Open Web Application Security Project) Dependency-Check en/of Dependency-Track,
10. statische controle van de software op aanwezigheid van kwetsbare constructies: SonarQube,
11. dynamische controle van de software op aanwezigheid van kwetsbare constructies: OWASP ZAP (Zed Attack Proxy),
11. dynamische controle van de software op aanwezigheid van kwetsbare constructies: ZAP (Zed Attack Proxy) by Checkmarx,
12. controleren van container images op aanwezigheid van bekende kwetsbaarheden: Trivy,
13. testen van performance en schaalbaarheid: JMeter en Performancetestrunner,
14. testen op toegankelijkheid van de applicatie: Axe,
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -30,7 +30,7 @@ Binnen het project worden door ICTU de volgende testsoorten onderscheiden en toe
+ **Handmatig regressietest:** Het handmatig uitvoeren van fysieke testgevallen om de werking van de bestaande functionaliteit te controleren. Deze testgevallen zijn veelal te complex om te automatiseren.
* Niet-functionele testen:
+ **Performancetesten:** Het testen van de snelheid van afhandeling van bepaalde functies van het systeem onder een vooraf gedefinieerde belasting. Performancetesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het volgen van de relatieve performance van verschillende versies van de software. Er vinden zowel een loadtest (normale en piekbelasting), als een duurtest (normale belasting voor langere tijd), als een stresstest (verhogen van de belasting totdat het systeem het begeeft) plaats. De Kwaliteitsaanpak schrijft voor dat er tijdens de realisatiefase performancetesten worden uitgevoerd. Deze worden bij voorkeur automatisch uitgevoerd. Belangrijk is dat de performancetest die op de testomgeving wordt uitgevoerd, niet vanzelfsprekend representatief is voor de productieomgeving. Dit betekent dat een opdrachtgevende organisatie op de eigen productieomgeving een performancetest moet (laten) uitvoeren om te controleren dat er aan de gestelde performance-eisen is voldaan.
+ **Securitytesten:** Security- en penetratietesten uitgevoerd door een externe partij. Normaliter worden deze minimaal twee maal per jaar of met elke grote release uitgevoerd en niet elke sprint. Securitytesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het testen van de beveiliging van de software zelf. De securitytest is inclusief een review van de broncode. Tijdens de realisatie draaien standaard al de volgende securitytesttools mee in de geautomatiseerde pijplijn: SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP en OpenVAS; de bevindingen die uit deze tools komen worden meteen tijdens de realisatie van het systeem opgepakt.
+ **Securitytesten:** Security- en penetratietesten uitgevoerd door een externe partij. Normaliter worden deze minimaal twee maal per jaar of met elke grote release uitgevoerd en niet elke sprint. Securitytesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het testen van de beveiliging van de software zelf. De securitytest is inclusief een review van de broncode. Tijdens de realisatie draaien standaard al de volgende securitytesttools mee in de geautomatiseerde pijplijn: SonarQube, OWASP Dependency-Check en/of Dependency-Track, ZAP by Checkmarx en OpenVAS; de bevindingen die uit deze tools komen worden meteen tijdens de realisatie van het systeem opgepakt.
* **Integratietesten:** Tijdens deze test wordt de onderlinge verwerkingswijze tussen de verschillende applicaties getest. Denk hierbij aan gewijzigde applicaties die samen werken met ongewijzigde applicaties. Indien van toepassing zullen hier ook externe systemen bij betrokken worden, in de vorm van stubs. Integratietesten zijn normaal gesproken geautomatiseerde tests. Als onderdeel van de integratietesten wordt getest of de software kan omgaan met fouten in andere applicaties en na een herstart goed blijft functioneren.
* **Gebruikersacceptatietest (GAT):** In tegenstelling tot de ‘traditionele’ watervalmethode biedt agile ontwikkelen meer ruimte voor de gebruiker om te participeren in het ontwikkeltraject. Tijdens elke sprint wordt nieuwe functionaliteit gedemonstreerd door het Scrumteam in een demo-omgeving. {opdrachtgevende organisatie} en/of beheerorganisatie kan een GAT-testomgeving beschikbaar stellen waar gebruikers kunnen werken met de nieuwe applicaties. Bevindingen worden tijdens trainingen of workshops verzameld om in de backlogs verwerkt te worden. De product owner prioriteert vervolgens deze bevindingen.
* **Usabilitytesten:** Het doel van deze test is om te bepalen hoe gemakkelijk / toegankelijk het systeem is in het gebruik ervan. Onderdeel van deze test is de toegankelijkheidstest; hiermee wordt bepaald in welke mate de software voldoet aan de wettelijke vereisten van de Web Content Accessibility Guidelines (WCAG2.2) en eventuele aanvullende toegankelijkheidseisen. Deze toegankelijkheidstesten worden waar mogelijk geautomatiseerd uitgevoerd. De toegankelijkheidseisen die niet geautomatiseerd getest kunnen worden, worden periodiek handmatig getest.
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -174,7 +174,7 @@ Acties (week 3):
* Je hebt toegang tot het versiebeheersysteem van je project (GitLab of Azure DevOps)
* Je hebt toegang tot de build server van je project (GitLab CI, Azure DevOps of Jenkins)
* Je hebt toegang tot je project in [Jira](https://jira.ictu-sd.nl/jira/)
* Je hebt toegang tot de securityrapportages in de build pipeline (OWASP Dependency-Check, OWASP ZAP, OpenVAS)
* Je hebt toegang tot de securityrapportages in de build pipeline (OWASP Dependency-Check, ZAP by Checkmarx, OpenVAS)
* Je hebt toegang tot de toegankelijksrapportage (Axe) in de build pipeline
* Je hebt toegang tot de testrapportages in de build pipeline (Robot Framework, JUnit, Cypress, etc.)
* Je hebt toegang tot de Dependency-Track instantie van je project
Expand Down
2 changes: 1 addition & 1 deletion Content/Templates/Kwaliteitsplan/Template-Inhoud.md
Original file line number Diff line number Diff line change
Expand Up @@ -280,7 +280,7 @@ Quality-time rapporteert over de geautomatiseerde performancetesten. Als de vera

De eisen aan de beveiliging worden in de documenten projectstartarchitectuur en niet-functionele eisen gedefinieerd. De in te richten testen dienen aan te tonen dat aan de gestelde beveiligingseisen wordt voldaan.

De geautomatiseerde broncodereviews en rapportages uit Quality-time bevatten diverse metrieken voor beveiligingsaspecten, zoals de OWASP Top-10-criteria. De applicatie wordt gescand met behulp van SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP en OpenVAS.
De geautomatiseerde broncodereviews en rapportages uit Quality-time bevatten diverse metrieken voor beveiligingsaspecten, zoals de OWASP Top-10-criteria. De applicatie wordt gescand met behulp van SonarQube, OWASP Dependency-Check en/of Dependency-Track, ZAP by Checkmarx en OpenVAS.

Om de beveiliging van de software te testen kan deze met enige regelmaat getest worden door een externe partij. Het MTP beschrijft de gekozen aanpak.

Expand Down
2 changes: 1 addition & 1 deletion Content/Templates/PvA-Realisatiefase/Template-Inhoud.md
Original file line number Diff line number Diff line change
Expand Up @@ -29,7 +29,7 @@ ICTU levert de volgende producten en diensten op:
Binnen de scope van de opdracht valt de {ontwikkeling en/of het onderhoud} van {het product}, inclusief:

* Ontwikkel, test- en demo-omgevingen,
* Engineering tools voor versiebeheer (GitLab of Azure DevOps), bouwen en testen (Azure DevOps, GitLab en/of Jenkins), kwaliteitscontrole (SonarQube), beveiligingscontrole (SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP, OpenVAS), toegankelijkheid (Axe), performancetesten (JMeter) en integrale kwaliteitsrapportage (Quality-time),
* Engineering tools voor versiebeheer (GitLab of Azure DevOps), bouwen en testen (Azure DevOps, GitLab en/of Jenkins), kwaliteitscontrole (SonarQube), beveiligingscontrole (SonarQube, OWASP Dependency-Check en/of Dependency-Track, ZAP by Checkmarx, OpenVAS), toegankelijkheid (Axe), performancetesten (JMeter) en integrale kwaliteitsrapportage (Quality-time),
* {Als operationeel beheer onderdeel is van de dienstverlening:} Uitrollen in de productieomgeving (Ansible), container registry (Harbor), performance monitoring (APM), security monitoring ({vul aan met concreet product}), controle van kwetsbaarheden in frameworks ({vul aan met concreet product}), controle van images van containers (Trivy), registratie van incidenten bij gebruik en beheer (Topdesk of Jira).
* Backlog management tools (Jira en/of Azure DevOps),
* Beveiligings- en performancetesten in de ICTU-testomgevingen. ICTU voert deze tests uit voordat een nieuwe versie van de software wordt opgeleverd. {Beschrijf hier eventuele andere afspraken met de opdrachtgevende organisatie}.
Expand Down
1 change: 1 addition & 0 deletions Content/Wijzigingsgeschiedenis.md
Original file line number Diff line number Diff line change
Expand Up @@ -20,6 +20,7 @@
## Alle documenten

* "OWASP Dependency-Check" consistent gespeld.
* "OWASP ZAP" hernoemd naar "ZAP by Checkmarx".

# Versie 4.0.0, 26 april 2024

Expand Down
Binary file modified docs/wip/ICTU-Kwaliteitsaanpak-Checklist.xlsx
Binary file not shown.
2 changes: 1 addition & 1 deletion docs/wip/ICTU-Kwaliteitsaanpak-Wijzigingsgeschiedenis.html

Large diffs are not rendered by default.

Binary file modified docs/wip/ICTU-Kwaliteitsaanpak.docx
Binary file not shown.
2 changes: 1 addition & 1 deletion docs/wip/ICTU-Kwaliteitsaanpak.html

Large diffs are not rendered by default.

Binary file modified docs/wip/ICTU-Kwaliteitsaanpak.pptx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Compacte-Voorfase.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Detailtestplan-Softwarerealisatie.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Generiek.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Globaal-Functioneel-Ontwerp.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Inwerkplan-Kwaliteitsmanager.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Kwaliteitsplan.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Plan-van-Aanpak-Realisatiefase.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Plan-van-Aanpak-Voorfase.docx
Binary file not shown.
Binary file modified docs/wip/ICTU-Template-Software-architectuurdocument.docx
Binary file not shown.
Binary file modified docs/wip/Neutraal-Template-Generiek.docx
Binary file not shown.
Binary file modified docs/wip/Neutraal-Template-Infrastructuurarchitectuur.docx
Binary file not shown.
Binary file modified docs/wip/Neutraal-Template-Mastertestplan.docx
Binary file not shown.
Binary file modified docs/wip/Neutraal-Template-Niet-Functionele-Eisen.docx
Binary file not shown.