Wordt het tijd om eens een nieuwe SAST-tool te proberen? Deel 2
Expertblogs
Dit is de tweede en laatste blogpost in een serie over SAST-tools. Heb je de vorige blogpost nog niet gelezen? Doe dat dan eerst via deze link. Het volledige onderzoeksrapport waar deze serie op is gebaseerd is hier te vinden.
Enquête
In de vorige blogpost zijn de resultaten uit de literatuurstudie van het onderzoek gepresenteerd. Deze blogpost gaat over de enquête die is afgenomen onder 44 Nederlandse softwareprofessionals.
Demografie
Zoals in figuur 1 te zien is zijn de meeste respondenten werkzaam als softwareontwikkelaar of in een vergelijkbare rol. De andere respondenten hebben een rol waarin ze verantwoordelijk zijn voor het veiliger maken van het softwareontwikkelingsproces.
Figuur 2 toont de sectoren waarin de respondenten werkzaam zijn. Drie sectoren zijn het best vertegenwoordigd: de financiële sector, de publieke sector, en de IT-sector.
Ervaringen met tools
In figuur 3 is te zien met welke SAST-tools de respondenten ervaring hebben. Hetzelfde geldt voor figuur 4, maar dan specifiek in de huidige functie. Het eerste dat opvalt is dat SonarQube inderdaad de meest populaire SAST-tool is.
Daarnaast geldt dat de geselecteerde nieuwe tools (CodeQL, Infer, Semgrep) nog zeer weinig gebruikt worden door de respondenten. Dat is interessant, want in een recente internationale studie staan CodeQL en Semgrep juist in de top 3. Dit lijkt er op te wijzen dat de nieuwe tools nog relatief weinig gebruikt worden in Nederland. Aangezien uit de literatuurstudie bleek dat de nieuwe tools soms beter presteren dan de gevestigde tool, lijkt hier dus een kans te liggen voor Nederlandse softwareprofessionals.
Belang
Respondenten is ook gevraagd hoe belangrijk SAST-tools bij hun organisaties zijn voor het ontdekken van verschillende typen problemen. Het antwoord is te vinden in figuur 5. Merk op dat SAST-tools met name van belang blijken voor het ontdekken van kwetsbaarheden (‘security bugs’). Dit benadrukt het belang van SAST-tools voor cyberveiligheid, en niet alleen voor performance en algemene codekwaliteit.
Respondenten is ook gevraagd naar het belang van andere methoden voor het ontdekken van problemen in code. Figuur 6 geeft dit weer, uitgesplitst naar sector. Hierbij staat ‘manual’ voor handmatige codereview, en ‘pentest’ voor een (al dan niet externe) penetratietest. Opvallend is dat SAST-tools bij de meeste sectoren het belangrijkste middel zijn om kwetsbaarheden te ontdekken.
Obstakels
In de vorige blogpost hebben we, op basis van de literatuurstudie, al een aantal obstakels gezien die worden ervaren bij het gebruik van SAST-tools. In de enquête is hier ook naar gevraagd. De resultaten zijn te vinden in figuur 7 en, uitgesplitst naar sector, in figuur 8.
Overeenkomstig met de literatuur, blijkt ook hier het grootste obstakel het aantal foutpositieven. Wat opvalt aan figuur 8, is dat in de financiële sector en de IT-sector minder problemen lijken te worden ervaren dan in de publieke sector. Dit suggereert dat meer kennisuitwisseling tussen verschillende sectoren tot beter gebruik zou kunnen leiden.
Conclusie
De enquêteresultaten geven een interessant beeld van de situatie in Nederland, dat de eerdere resultaten uit de literatuurstudie mooi aanvult. In het rapport zijn een aantal aanbevelingen te vinden die aan deze resultaten worden ontleend.
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.