ID: S202512111038 Status: school Tags: Security

avans 2-1 security workshop 3

Voorbereiding

• Je moet een SAST tool installeren, bijvoorbeeld:
  • Aikido.dev
  • snyk.io
  • semgrep
• je moet de juice shop locaal draaien (niet de demo versie)
  • ik heb dit gedaan door in mijn locale portainer bkimminich/juice-shop als container te pullen. hij heeft port 3000 nodig. vergeet hem niet te stoppen wanneer je m niet gebruikt ;)
• aangeraadde tools: Burp suite, Nikto, Nessus (essentials editie), Fiddler, nmap, Kali Linux
• read about the following topics:
  • software composition analysis - SCA.
  • penetration testing - pen testing
  • OWASP Security Culture
  • SAST vs DAST
  • Secure Code Review
  • Coding standards

les

DEVSECOPS syclus ipv DEVOPS.

security in CICD.

• vulnerability scanning
• static security testing
• auditing & monitoring
• runtime security

we gaan op zoek naar CICD tooling om te gebruiken tijdens ons Avans 2-1 LU3 project. SAST, DAST or SBOM

---

aikido is n SAST tool OWASP ZAP Full Scan is a DAST tool

---

Tools zoals SAST en DAST en SBOM zijn zo nuttig, maar er zijn fals positives, en false negatives. Secure Code Reviews zijn altijd beter.

---

nu moeten we een Secure Code Review doen op de juice shop.

---

References

dit is de brightspace page die uitlegt waar de les over gaat en wat de voorbereiding is

vorige les: avans 2-1 security workshop 2.

hier zijn de slides van deze les: https://brightspace.avans.nl/d2l/le/lessons/251408/topics/1859673