L1 BIO 12.06 ISO A.14.2.1

Code Scanning: Automatische Beveiligingsanalyse Van Applicatiecode

📅 2025-11-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Code scanning is een essentiële beveiligingsmaatregel die automatisch applicatiecode analyseert op beveiligingskwetsbaarheden, zwakke punten en compliance-problemen voordat code wordt geïmplementeerd in productieomgevingen. Deze geautomatiseerde security testing vormt een kritieke verdedigingslaag tegen beveiligingsrisico's die ontstaan door onveilige code, hardcoded credentials, kwetsbare dependencies en andere beveiligingsproblemen die kunnen leiden tot data breaches, ongeautoriseerde toegang en compliance-schendingen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
56u (tech: 24u)
Van toepassing op:
Microsoft 365 E5
Power Platform
GitHub Enterprise
Azure DevOps

Ongecontroleerde applicatiecode vormt een van de grootste beveiligingsrisico's voor moderne organisaties, vooral in cloud-omgevingen waar code snel wordt ontwikkeld en geïmplementeerd. Zonder geautomatiseerde code scanning worden beveiligingsproblemen vaak pas ontdekt nadat code al in productie is geïmplementeerd, waardoor organisaties blootgesteld worden aan aanzienlijke risico's. Hardcoded credentials zoals API-sleutels, wachtwoorden en connection strings worden regelmatig per ongeluk in code repositories gecommit, waardoor aanvallers directe toegang kunnen krijgen tot systemen en data. Kwetsbare dependencies en libraries met bekende Common Vulnerabilities and Exposures (CVE's) worden gebruikt zonder dat organisaties zich bewust zijn van de beveiligingsrisico's. Injection vulnerabilities zoals SQL injection, command injection en cross-site scripting (XSS) blijven onopgemerkt totdat ze worden geëxploiteerd door aanvallers. Onveilige authenticatie- en autorisatie-implementaties kunnen leiden tot privilege escalation en ongeautoriseerde toegang tot gevoelige gegevens. Deze problemen worden verergerd door de snelheid van moderne development practices zoals DevOps en agile methodologieën, waarbij code frequent wordt geïmplementeerd zonder uitgebreide security reviews. Code scanning lost deze problemen op door automatisch code te analyseren op duizenden bekende beveiligingsproblemen, hardcoded secrets te detecteren, kwetsbare dependencies te identificeren, en compliance-vereisten te verifiëren. Dit gebeurt automatisch tijdens het development proces, waardoor beveiligingsproblemen worden gedetecteerd en opgelost voordat code in productie wordt geïmplementeerd. Dit resulteert in significante risicoreductie, lagere kosten door vroegtijdige detectie, verbeterde compliance met security frameworks, en een cultuur van security-by-design waarbij beveiliging is geïntegreerd in het development proces.

PowerShell Modules Vereist
Primary API: GitHub API, Azure DevOps API, Power Platform Admin API
Connection: Connect-AzAccount, gh auth login
Required Modules: Az.Accounts, MicrosoftPowerBIMgmt

Implementatie

Code scanning omvat verschillende geautomatiseerde security testing technieken die applicatiecode analyseren op beveiligingsproblemen zonder de code daadwerkelijk uit te voeren. Static Application Security Testing (SAST) analyseert broncode, bytecode of binary code op beveiligingskwetsbaarheden, zwakke punten en compliance-problemen. Deze analyse gebeurt tijdens het development proces en identificeert problemen zoals injection vulnerabilities, onveilige cryptografie, hardcoded credentials, en onveilige API-gebruik. Software Composition Analysis (SCA) analyseert dependencies en libraries die worden gebruikt in applicaties om bekende kwetsbaarheden te identificeren. Deze tools vergelijken gebruikte dependencies met CVE-databases en adviseren over updates of alternatieven. Secret scanning detecteert hardcoded credentials, API-sleutels, wachtwoorden, connection strings en andere gevoelige informatie die per ongeluk in code repositories zijn gecommit. Deze scanning voorkomt dat gevoelige informatie wordt blootgesteld in version control systemen. Code scanning kan worden geïmplementeerd via verschillende Microsoft 365 en Azure services. GitHub Advanced Security biedt geavanceerde code scanning capabilities voor repositories, inclusief CodeQL voor SAST, Dependabot voor dependency scanning, en secret scanning. Azure DevOps biedt integratie met verschillende code scanning tools via extensions en pipelines. Power Platform biedt code scanning voor Power Apps en Power Automate flows om beveiligingsproblemen te detecteren in low-code/no-code oplossingen. Microsoft Defender for Cloud Apps kan code repositories monitoren op blootgestelde secrets en ongeautoriseerde toegang. Code scanning wordt typisch geïntegreerd in Continuous Integration/Continuous Deployment (CI/CD) pipelines, waarbij automatisch scans worden uitgevoerd bij elke code commit, pull request of build. Resultaten worden gerapporteerd aan developers via IDE-integraties, pull request comments, en security dashboards. Organisaties kunnen policies configureren die vereisen dat code scanning checks slagen voordat code kan worden gemerged naar main branches, waardoor beveiligingsproblemen worden voorkomen voordat ze in productie komen.

Vereisten en Voorbereiding

Voor het implementeren van code scanning zijn verschillende technische en organisatorische vereisten noodzakelijk. Ten eerste moet er een version control systeem zijn zoals GitHub, Azure DevOps, of GitLab waar code wordt opgeslagen en beheerd. Voor GitHub repositories is GitHub Advanced Security vereist, wat beschikbaar is via GitHub Enterprise Cloud of als add-on voor GitHub Enterprise Server. Azure DevOps biedt code scanning via extensions en integraties met tools zoals SonarQube, Veracode, of Checkmarx. Power Platform code scanning vereist Power Platform Premium licenties en toegang tot Power Platform Admin Center voor het configureren van security policies.

Organisatorisch moet er een duidelijk security development lifecycle (SDL) proces zijn gedefinieerd dat beschrijft hoe code scanning past binnen de development workflow. Development teams moeten worden getraind in het interpreteren van scanresultaten, het prioriteren van beveiligingsproblemen, en het implementeren van fixes. Er moeten duidelijke policies zijn over welke beveiligingsproblemen blocking zijn (code kan niet worden gemerged) en welke non-blocking zijn (waarschuwingen die moeten worden opgelost maar niet blokkeren). Security teams moeten worden betrokken bij het configureren van scanning rules, het definiëren van security baselines, en het reviewen van false positives. Er moet een proces zijn voor het behandelen van false positives, waarbij security teams kunnen uitzonderingen configureren voor valse waarschuwingen zonder de effectiviteit van scanning te verminderen.

Vanuit compliance perspectief moeten code scanning resultaten worden gelogd en bewaard voor audit doeleinden. Dit vereist dat scanresultaten worden opgeslagen in een centraal systeem, dat trends worden geanalyseerd over tijd, en dat rapportages worden gegenereerd voor management en compliance teams. Incident response procedures moeten worden bijgewerkt om code scanning alerts te integreren, waarbij wordt beschreven hoe beveiligingsproblemen die worden gedetecteerd worden geëscaleerd en opgelost. Tot slot moet er een monitoring en reporting proces zijn opgezet om de effectiviteit van code scanning te meten, inclusief metrics zoals aantal gedetecteerde beveiligingsproblemen per maand, percentage van problemen dat wordt opgelost voordat productie-implementatie, tijd tot fix voor kritieke problemen, en trendanalyses van beveiligingsposture over tijd.

Implementatie van Code Scanning

Gebruik PowerShell-script code-scanning.ps1 (functie Invoke-Remediation) – PowerShell script voor het configureren van code scanning in GitHub, Azure DevOps en Power Platform inclusief SAST, SCA en secret scanning.

De implementatie van code scanning begint met het selecteren van de juiste tools en services voor de specifieke development omgeving. Voor GitHub repositories is GitHub Advanced Security de primaire oplossing, die CodeQL voor SAST, Dependabot voor dependency scanning, en secret scanning biedt. CodeQL is een geavanceerde SAST engine die queries gebruikt om beveiligingsproblemen te detecteren in verschillende programmeertalen zoals JavaScript, TypeScript, Python, Java, C#, en C++. Dependabot monitort dependencies en genereert automatisch pull requests wanneer kwetsbaarheden worden gedetecteerd. Secret scanning detecteert automatisch hardcoded secrets in code en waarschuwt organisaties wanneer gevoelige informatie wordt gecommit.

Voor Azure DevOps kunnen organisaties kiezen uit verschillende code scanning tools via marketplace extensions. Microsoft Security Code Analysis extension biedt geïntegreerde SAST scanning met tools zoals Credential Scanner, BinSkim, en ESLint. SonarQube is een populaire open-source optie die uitgebreide code quality en security scanning biedt. Veracode en Checkmarx zijn commerciële oplossingen die geavanceerde SAST capabilities bieden. Organisaties kunnen ook custom scanning implementeren via Azure Pipelines door scanning tools toe te voegen aan build pipelines. Dit vereist het configureren van build tasks die scanning tools uitvoeren, resultaten parseren, en rapporten genereren die worden geïntegreerd in pull request reviews.

Power Platform code scanning wordt geconfigureerd via Power Platform Admin Center onder Settings → Policies → Data loss prevention. Hier kunnen organisaties DLP policies configureren die beveiligingsregels definiëren voor Power Apps en Power Automate flows. Deze policies kunnen bijvoorbeeld blokkeren dat flows externe HTTP-aanroepen maken naar niet-goedgekeurde endpoints, dat apps gevoelige data delen met externe services, of dat onveilige connectors worden gebruikt. Daarnaast kunnen organisaties Power Platform Checker gebruiken, een tool die Power Apps en Power Automate solutions analyseert op best practices, beveiligingsproblemen en performance issues. Deze tool kan worden geïntegreerd in CI/CD pipelines voor automatische scanning.

Na het selecteren en configureren van tools moeten scanning policies worden gedefinieerd die bepalen welke beveiligingsproblemen blocking zijn en welke waarschuwingen zijn. Kritieke beveiligingsproblemen zoals hardcoded credentials, SQL injection, en remote code execution moeten altijd blocking zijn, wat betekent dat code niet kan worden gemerged totdat deze problemen zijn opgelost. Minder kritieke problemen zoals code quality issues of low-severity vulnerabilities kunnen non-blocking zijn maar moeten wel worden gedocumenteerd en opgelost binnen een bepaalde tijdsperiode. Organisaties moeten ook uitzonderingen configureren voor false positives, waarbij security teams kunnen aangeven dat bepaalde waarschuwingen niet van toepassing zijn op specifieke code secties.

Code scanning moet worden geïntegreerd in CI/CD pipelines zodat scans automatisch worden uitgevoerd bij elke code commit of pull request. Voor GitHub repositories wordt dit geconfigureerd via GitHub Actions workflows die automatisch worden getriggerd bij pull requests. Azure DevOps gebruikt build pipelines met scanning tasks die worden uitgevoerd tijdens build processen. Resultaten moeten worden geïntegreerd in pull request reviews, waarbij developers direct feedback krijgen over beveiligingsproblemen in hun code. IDE-integraties kunnen developers ook real-time feedback geven tijdens het schrijven van code, waardoor beveiligingsproblemen worden voorkomen voordat code wordt gecommit.

Typen Code Scanning en Detectie

Code scanning omvat verschillende typen analyses die elk verschillende aspecten van applicatiebeveiliging adresseren. Static Application Security Testing (SAST) analyseert broncode zonder deze uit te voeren, waardoor beveiligingsproblemen worden gedetecteerd tijdens het development proces. SAST tools gebruiken verschillende technieken zoals pattern matching om bekende beveiligingsproblemen te identificeren, data flow analysis om te traceren hoe data door applicaties stroomt en waar gevoelige informatie mogelijk wordt blootgesteld, en taint analysis om te detecteren waar onvertrouwde input mogelijk wordt gebruikt in gevaarlijke operaties. SAST kan duizenden verschillende beveiligingsproblemen detecteren, inclusief injection vulnerabilities (SQL injection, command injection, LDAP injection), cross-site scripting (XSS), insecure deserialization, onveilige cryptografie, hardcoded credentials, en onveilige API-gebruik.

Software Composition Analysis (SCA) analyseert dependencies en libraries die worden gebruikt in applicaties om bekende kwetsbaarheden te identificeren. SCA tools vergelijken gebruikte dependencies met CVE-databases zoals de National Vulnerability Database (NVD) om te identificeren welke libraries bekende kwetsbaarheden bevatten. Deze tools kunnen ook licentie-compliance verifiëren door te controleren of gebruikte libraries compatibel zijn met organisatie-licentiebeleid. SCA tools zoals Dependabot en Snyk kunnen automatisch pull requests genereren wanneer kwetsbaarheden worden gedetecteerd, waarbij updates worden voorgesteld naar veiligere versies van libraries. Deze automatisering helpt organisaties om dependencies up-to-date te houden en kwetsbaarheden snel te patchen.

Secret scanning is een kritieke component van code scanning die detecteert wanneer gevoelige informatie zoals wachtwoorden, API-sleutels, connection strings, en andere credentials per ongeluk in code repositories worden gecommit. Deze scanning gebruikt pattern matching en machine learning om verschillende typen secrets te detecteren, inclusief AWS access keys, Azure service principal secrets, GitHub personal access tokens, database connection strings, en algemene wachtwoorden. Wanneer een secret wordt gedetecteerd, worden organisaties onmiddellijk gewaarschuwd zodat de secret kan worden gerevoked en vervangen voordat aanvallers deze kunnen gebruiken. GitHub Advanced Security biedt secret scanning dat automatisch detecteert wanneer secrets worden gecommit en waarschuwt zowel de repository owner als de service provider (bijvoorbeeld AWS of Azure) zodat de secret kan worden geïnvalideerd.

Infrastructure as Code (IaC) scanning analyseert configuratiebestanden zoals Terraform, ARM templates, en CloudFormation templates op beveiligingsproblemen en misconfiguraties. Deze scanning is essentieel omdat cloud-infrastructuur vaak wordt geconfigureerd via code, en misconfiguraties kunnen leiden tot significante beveiligingsrisico's zoals publiek toegankelijke storage accounts, onbeveiligde databases, of overmatige permissions. IaC scanning tools zoals Checkov, Terrascan, en Azure Policy kunnen duizenden verschillende misconfiguraties detecteren en helpen organisaties om secure-by-default infrastructure te implementeren. Deze tools kunnen worden geïntegreerd in CI/CD pipelines om te verifiëren dat infrastructure code voldoet aan beveiligingsstandaarden voordat deze wordt geïmplementeerd.

Container scanning analyseert container images op kwetsbaarheden in base images, geïnstalleerde packages, en applicatiecode. Deze scanning is essentieel voor containerized applicaties omdat containers vaak base images gebruiken die kwetsbaarheden kunnen bevatten. Container scanning tools zoals Trivy, Clair, en Azure Container Registry security scanning kunnen container images analyseren voordat deze worden geïmplementeerd en waarschuwingen genereren wanneer kwetsbaarheden worden gedetecteerd. Deze tools kunnen ook worden geïntegreerd in CI/CD pipelines om te verifiëren dat container images voldoen aan beveiligingsvereisten voordat deze worden gepusht naar container registries.

Monitoring en Effectiviteit Meting

Gebruik PowerShell-script code-scanning.ps1 (functie Invoke-Monitoring) – Controleert de status van code scanning configuratie en rapporteert over scanresultaten, gedetecteerde beveiligingsproblemen en compliance metrics.

Continue monitoring van code scanning is essentieel om te verifiëren dat scanning correct functioneert, om de effectiviteit te meten, en om trends te identificeren in beveiligingsposture. De primaire monitoring interface is typisch het security dashboard van de gebruikte scanning tool, waar een overzicht wordt getoond van alle scanresultaten, gedetecteerde beveiligingsproblemen, en compliance status. GitHub Advanced Security biedt een Security tab in repositories waar alle beveiligingsproblemen worden getoond, inclusief code scanning alerts, Dependabot alerts, en secret scanning alerts. Azure DevOps biedt security dashboards via extensions en integraties met scanning tools. Power Platform biedt security insights via Power Platform Admin Center waar DLP policy violations en security recommendations worden getoond.

Key metrics die moeten worden gemonitord omvatten het totaal aantal gedetecteerde beveiligingsproblemen, het aantal kritieke problemen dat nog moet worden opgelost, de gemiddelde tijd tot fix voor verschillende severity levels, het percentage van beveiligingsproblemen dat wordt opgelost voordat productie-implementatie, en trendanalyses die laten zien of de beveiligingsposture verbetert of verslechtert over tijd. Deze metrics helpen organisaties om te begrijpen hoe effectief code scanning is en waar verbeteringen mogelijk zijn. Organisaties moeten ook monitoren hoeveel false positives worden gegenereerd, omdat te veel false positives kunnen leiden tot alert fatigue waarbij developers waarschuwingen negeren.

Voor gedetailleerde analyse van individuele beveiligingsproblemen kunnen security teams inzoomen op specifieke alerts via de scanning tool interface. Hier wordt gedetailleerde informatie getoond over het beveiligingsprobleem, inclusief waar in de code het probleem zich bevindt, wat de impact is, hoe het probleem kan worden geëxploiteerd, en hoe het probleem kan worden opgelost. Deze detailweergave is essentieel voor developers om beveiligingsproblemen te begrijpen en te fixen. Veel scanning tools bieden ook integraties met issue tracking systemen zoals Jira of Azure DevOps Work Items, waardoor beveiligingsproblemen kunnen worden getracked en toegewezen aan developers voor resolutie.

Naast het monitoren van individuele beveiligingsproblemen is het belangrijk om trends en patronen te identificeren over langere perioden. Security dashboards bieden verschillende rapportage-opties waarmee organisaties kunnen analyseren welke typen beveiligingsproblemen het meest voorkomen, welke repositories of teams de meeste problemen hebben, en of de beveiligingsposture verbetert over tijd. Deze data kan worden gebruikt om training te prioriteren voor development teams die regelmatig bepaalde typen beveiligingsproblemen introduceren, om security baselines aan te passen, of om nieuwe scanning rules toe te voegen voor beveiligingsproblemen die regelmatig worden gedetecteerd. Organisaties kunnen ook custom reports genereren voor management en compliance doeleinden, waarbij wordt getoond hoe code scanning bijdraagt aan de overall security posture en hoeveel beveiligingsproblemen worden voorkomen door vroegtijdige detectie.

Een kritiek aspect van monitoring is het identificeren en corrigeren van false positives. Wanneer code scanning een beveiligingsprobleem detecteert dat achteraf geen echt probleem blijkt te zijn, moet deze false positive worden gedocumenteerd en geanalyseerd om te voorkomen dat soortgelijke waarschuwingen in de toekomst opnieuw worden gegenereerd. Veel scanning tools bieden mogelijkheden om false positives te markeren of uitzonderingen te configureren voor specifieke code secties. Het is belangrijk om een balans te vinden tussen het verminderen van false positives en het behouden van effectieve detectie van echte beveiligingsproblemen. Daarnaast moeten organisaties regelmatig reviewen of code scanning alle relevante beveiligingsproblemen detecteert. Wanneer security teams handmatig beveiligingsproblemen detecteren die door scanning niet zijn opgepikt, moet worden geanalyseerd waarom dit is gebeurd en of de scanning configuratie moet worden aangepast om deze problemen in de toekomst wel te detecteren.

Remediatie en Troubleshooting

Gebruik PowerShell-script code-scanning.ps1 (functie Invoke-Remediation) – Configureert code scanning volgens best practices en lost configuratieproblemen op.

Wanneer problemen optreden met code scanning zijn verschillende remediatiestrategieën beschikbaar. Een veelvoorkomend probleem is dat code scanning niet automatisch wordt uitgevoerd voor bepaalde repositories of branches. Dit kan worden veroorzaakt door verkeerd geconfigureerde CI/CD pipelines, ontbrekende scanning tools in build processen, of repositories die niet zijn geconfigureerd voor scanning. Om dit probleem op te lossen moeten CI/CD pipelines worden gereviewed en gecontroleerd of scanning tasks correct zijn geconfigureerd en worden uitgevoerd. Het monitoring script kan helpen bij het identificeren van repositories of branches waar scanning niet wordt uitgevoerd.

Een ander veelvoorkomend probleem is dat code scanning te veel false positives genereert, waardoor developers waarschuwingen negeren en echte beveiligingsproblemen over het hoofd zien. Dit kan worden opgelost door scanning rules te verfijnen, uitzonderingen te configureren voor bekende false positive scenario's, of door custom rules te schrijven die beter aansluiten bij de specifieke codebase van de organisatie. Organisaties moeten een proces hebben voor het documenteren en analyseren van false positives, waarbij wordt bijgehouden welke scanning rules regelmatig false positives genereren en welke configuratieaanpassingen kunnen helpen om deze te verminderen zonder de effectiviteit van scanning te verminderen.

Wanneer code scanning beveiligingsproblemen detecteert maar developers deze niet kunnen oplossen omdat ze onvoldoende context hebben, kan dit wijzen op onduidelijke error messages, ontbrekende documentatie over hoe problemen moeten worden opgelost, of beveiligingsproblemen die complex zijn om te fixen. In dit geval moeten security teams developers ondersteunen door duidelijke richtlijnen te verschaffen over hoe beveiligingsproblemen moeten worden opgelost, code examples te geven van secure implementations, en training te bieden over secure coding practices. Veel scanning tools bieden ook integraties met learning platforms of documentatie die developers kunnen helpen om beveiligingsproblemen te begrijpen en op te lossen.

Voor problemen met scanning performance, waarbij scans te lang duren of te veel resources verbruiken, kunnen verschillende optimalisaties worden toegepast. Incremental scanning kan worden geconfigureerd waarbij alleen gewijzigde code wordt gescand in plaats van de volledige codebase, wat scan tijden aanzienlijk kan verkorten. Parallel scanning kan worden gebruikt waarbij verschillende delen van de codebase parallel worden gescand. Caching kan worden geïmplementeerd waarbij scanresultaten worden gecached voor code die niet is gewijzigd. Daarnaast kunnen organisaties scanning rules optimaliseren door onnodige of weinig effectieve rules te verwijderen, wat zowel performance als false positive rates kan verbeteren.

Compliance en Framework Mapping

Code scanning is een critical component van moderne application security en is essentieel voor compliance met verschillende security frameworks. Voor CIS Microsoft 365 Foundations Benchmark is code scanning relevant voor control 6.1 (Secure development practices - Code review en security testing) en control 6.2 (Vulnerability management - Automated vulnerability scanning). Deze controls vereisen dat organisaties geautomatiseerde security testing hebben die beveiligingsproblemen detecteert tijdens het development proces en dat kwetsbaarheden worden geïdentificeerd en opgelost voordat code in productie wordt geïmplementeerd.

Voor de BIO Baseline Informatiebeveiliging Overheid is code scanning relevant voor Thema 12.06 (Secure development - Code review en security testing), Thema 12.07 (Vulnerability management - Automated scanning en patch management), en Thema 17.1 (Incident management - Proactieve detectie van beveiligingsproblemen). BIO vereist dat organisaties secure development practices implementeren waarbij beveiliging is geïntegreerd in het development proces, en dat kwetsbaarheden proactief worden gedetecteerd en opgelost. Code scanning is essentieel om aan deze vereisten te voldoen, vooral gezien de snelheid van moderne development practices en het volume van code dat wordt ontwikkeld.

ISO 27001:2022 vereist in A.14.2.1 (Secure development policy - Security requirements in development), A.14.2.5 (System development procedures - Security testing), en A.12.6.1 (Management of technical vulnerabilities - Vulnerability scanning) dat organisaties security testing uitvoeren tijdens development en dat kwetsbaarheden worden geïdentificeerd en opgelost. Code scanning voldoet aan deze vereisten door automatisch beveiligingsproblemen te detecteren tijdens het development proces en door kwetsbaarheden te identificeren voordat code in productie wordt geïmplementeerd. De uitgebreide logging van alle scanning activiteiten ondersteunt ook A.12.4.1 (Logging - Security event logging) door alle scanresultaten en beveiligingsproblemen te documenteren voor audit doeleinden.

Voor NIS2 is code scanning essentieel voor Artikel 21 (Cybersecurity risicobeheer - Proactieve identificatie van beveiligingsrisico's), Artikel 10 (Beveiligingsmaatregelen - Secure development practices), en Artikel 23 (Incident handling - Vroegtijdige detectie van beveiligingsproblemen). NIS2 vereist dat essentiële en belangrijke entiteiten proactief beveiligingsrisico's identificeren en mitigeren, waarbij secure development practices en geautomatiseerde security testing kritiek zijn om aan deze vereisten te voldoen. Code scanning helpt organisaties om beveiligingsproblemen vroegtijdig te detecteren en op te lossen voordat ze kunnen worden geëxploiteerd, wat essentieel is voor NIS2 compliance.

Tot slot ondersteunt code scanning ook AVG compliance door te helpen bij het voorkomen van data breaches die kunnen ontstaan door onveilige code. Artikel 32 (Beveiliging van de verwerking) vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, waarbij secure development practices en security testing essentieel zijn. Code scanning helpt bij het detecteren van beveiligingsproblemen die kunnen leiden tot datalekken, zoals hardcoded credentials, onveilige API-gebruik, of injection vulnerabilities. Daarnaast ondersteunt de uitgebreide logging van scanning activiteiten ook Artikel 30 (Register van verwerkingsactiviteiten) door alle security testing en beveiligingsproblemen te documenteren die relevant zijn voor gegevensbescherming.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Code Scanning: Automatische Beveiligingsanalyse van Applicatiecode .DESCRIPTION Configureert code scanning in GitHub, Azure DevOps en Power Platform inclusief SAST, SCA, secret scanning en monitoring. Implementeert geautomatiseerde security testing voor applicatiecode. .NOTES Filename: code-scanning.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-11-27 Last Modified: 2025-11-27 Version: 1.0 Related JSON: content/m365/application-security/code-scanning.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\code-scanning.ps1 -Monitoring Controleert of code scanning correct is geconfigureerd .EXAMPLE .\code-scanning.ps1 -Remediation Configureert code scanning volgens best practices #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, MicrosoftPowerBIMgmt [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie $GitHubAdvancedSecurityEnabled = $true $AzureDevOpsScanningEnabled = $true $PowerPlatformDLPEnabled = $true $SecretScanningEnabled = $true $DependencyScanningEnabled = $true function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Azure verbinding..." try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop Write-Host "Verbonden met Azure" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Azure: $($context.Account.Id)" } } catch { Write-Warning "Kon niet verbinden met Azure (sommige checks kunnen falen): $_" } Write-Verbose "Controleren van Power Platform verbinding..." try { $powerBIContext = Get-PowerBIAccessToken -ErrorAction SilentlyContinue if (-not $powerBIContext) { Write-Host "Verbinding maken met Power Platform..." -ForegroundColor Yellow Connect-PowerBIServiceAccount -ErrorAction Stop Write-Host "Verbonden met Power Platform" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Power Platform" } } catch { Write-Warning "Kon niet verbinden met Power Platform (sommige checks kunnen falen): $_" } } function Test-CodeScanningConfiguration { <# .SYNOPSIS Test of code scanning correct is geconfigureerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van code scanning configuratie..." $results = @{ IsCompliant = $false GitHubAdvancedSecurityEnabled = $false AzureDevOpsScanningEnabled = $false PowerPlatformDLPEnabled = $false SecretScanningEnabled = $false DependencyScanningEnabled = $false Issues = @() Recommendations = @() } try { Write-Host "`n Code Scanning Configuratie:" -ForegroundColor Cyan # Check GitHub Advanced Security Write-Host " Controleren van GitHub Advanced Security..." -ForegroundColor Yellow try { # Note: GitHub Advanced Security check requires GitHub API access # This is a simplified check - in production, use GitHub API to verify Write-Host " ⚠️ GitHub Advanced Security: Vereist API verificatie" -ForegroundColor Yellow $results.Recommendations += "Verifieer GitHub Advanced Security in GitHub Enterprise settings" $results.Recommendations += "Controleer of CodeQL, Dependabot en secret scanning zijn ingeschakeld" } catch { Write-Host " ❌ Kon GitHub Advanced Security niet controleren: $_" -ForegroundColor Red $results.Issues += "Kon GitHub Advanced Security niet controleren: $_" } # Check Azure DevOps Write-Host " Controleren van Azure DevOps scanning..." -ForegroundColor Yellow try { # Note: Azure DevOps scanning check requires Azure DevOps API access Write-Host " ⚠️ Azure DevOps scanning: Vereist API verificatie" -ForegroundColor Yellow $results.Recommendations += "Verifieer Azure DevOps security scanning extensions" $results.Recommendations += "Controleer of Microsoft Security Code Analysis extension is geïnstalleerd" } catch { Write-Host " ❌ Kon Azure DevOps scanning niet controleren: $_" -ForegroundColor Red $results.Issues += "Kon Azure DevOps scanning niet controleren: $_" } # Check Power Platform DLP Write-Host " Controleren van Power Platform DLP..." -ForegroundColor Yellow try { # Note: Power Platform DLP check requires Power Platform Admin API Write-Host " ⚠️ Power Platform DLP: Vereist portal verificatie" -ForegroundColor Yellow $results.Recommendations += "Verifieer Power Platform DLP policies in Power Platform Admin Center" $results.Recommendations += "Controleer of DLP policies zijn geconfigureerd voor alle environments" } catch { Write-Host " ❌ Kon Power Platform DLP niet controleren: $_" -ForegroundColor Red $results.Issues += "Kon Power Platform DLP niet controleren: $_" } # Provide recommendations based on best practices Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan Write-Host " 1. Configureer GitHub Advanced Security voor alle repositories" -ForegroundColor Yellow Write-Host " 2. Integreer code scanning in CI/CD pipelines" -ForegroundColor Yellow Write-Host " 3. Stel blocking policies in voor kritieke beveiligingsproblemen" -ForegroundColor Yellow Write-Host " 4. Configureer secret scanning om hardcoded credentials te detecteren" -ForegroundColor Yellow Write-Host " 5. Activeer dependency scanning voor kwetsbaarheidsdetectie" -ForegroundColor Yellow $results.Recommendations += "Integreer code scanning in alle CI/CD pipelines" $results.Recommendations += "Configureer blocking policies voor kritieke beveiligingsproblemen" $results.Recommendations += "Stel een proces op voor het behandelen van false positives" $results.Recommendations += "Monitor code scanning metrics en trends regelmatig" # Simplified compliance check # In production, implement actual configuration checks via appropriate APIs $results.IsCompliant = $results.Issues.Count -eq 0 } catch { Write-Error "Fout tijdens code scanning configuratie check: $_" $results.Issues += "Fout tijdens configuratie check: $_" $results.IsCompliant = $false } return $results } function Invoke-Monitoring { <# .SYNOPSIS Monitort de status van code scanning #> [CmdletBinding()] param() Write-Host "`nMonitoring: Code Scanning" -ForegroundColor Yellow Write-Host "===========================" -ForegroundColor Yellow $result = Test-CodeScanningConfiguration Write-Host "`nResultaten:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host " Status: ✅ COMPLIANT" -ForegroundColor Green } else { Write-Host " Status: ⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow } if ($result.Issues.Count -gt 0) { Write-Host "`n Gevonden problemen:" -ForegroundColor Red foreach ($issue in $result.Issues) { Write-Host " - $issue" -ForegroundColor Red } } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " - $recommendation" -ForegroundColor Yellow } } Write-Host "`n Let op:" -ForegroundColor Yellow Write-Host " Code scanning configuratie wordt beheerd via verschillende platforms:" -ForegroundColor Yellow Write-Host " - GitHub: github.com → Settings → Security → Code security and analysis" -ForegroundColor White Write-Host " - Azure DevOps: dev.azure.com → Project Settings → Security" -ForegroundColor White Write-Host " - Power Platform: admin.powerplatform.microsoft.com → Data policies" -ForegroundColor White Write-Host "`n Monitoring Metrics:" -ForegroundColor Cyan Write-Host " - Controleer aantal gedetecteerde beveiligingsproblemen per repository" -ForegroundColor White Write-Host " - Review kritieke beveiligingsproblemen die nog moeten worden opgelost" -ForegroundColor White Write-Host " - Analyseer false positives en pas configuratie aan indien nodig" -ForegroundColor White Write-Host " - Meet tijd tot fix voor verschillende severity levels" -ForegroundColor White Write-Host " - Monitor trendanalyses van beveiligingsposture over tijd" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`n✅ Code scanning basischecks geslaagd" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in de respectieve portals voor details" -ForegroundColor Yellow exit 0 } else { Write-Host "`n⚠️ Verificatie vereist - Controleer code scanning configuratie in de portals" -ForegroundColor Yellow exit 1 } } function New-CodeScanningConfiguration { <# .SYNOPSIS Configureert code scanning volgens best practices #> [CmdletBinding()] param() Write-Verbose "Configureren van code scanning..." Write-Host "`nRemediatie: Code Scanning Configuratie" -ForegroundColor Yellow Write-Host "=======================================" -ForegroundColor Yellow Write-Host "`n Belangrijke opmerking:" -ForegroundColor Yellow Write-Host " Code scanning configuratie wordt beheerd via verschillende platforms" -ForegroundColor White Write-Host " afhankelijk van de gebruikte development tools." -ForegroundColor White Write-Host "" Write-Host " GitHub Advanced Security Configuratie:" -ForegroundColor Cyan Write-Host "" Write-Host " 1. Navigeer naar github.com → Repository → Settings → Security" -ForegroundColor White Write-Host " 2. Activeer 'Code scanning' (CodeQL)" -ForegroundColor White Write-Host " 3. Activeer 'Dependabot alerts' voor dependency scanning" -ForegroundColor White Write-Host " 4. Activeer 'Secret scanning' voor hardcoded credentials" -ForegroundColor White Write-Host " 5. Configureer GitHub Actions workflows voor automatische scanning" -ForegroundColor White Write-Host " 6. Stel security policies in voor blocking kritieke problemen" -ForegroundColor White Write-Host "" Write-Host " Azure DevOps Configuratie:" -ForegroundColor Cyan Write-Host "" Write-Host " 1. Installeer Microsoft Security Code Analysis extension" -ForegroundColor White Write-Host " 2. Voeg security scanning tasks toe aan build pipelines" -ForegroundColor White Write-Host " 3. Configureer SonarQube of andere SAST tools indien gewenst" -ForegroundColor White Write-Host " 4. Stel branch policies in die vereisen dat scans slagen" -ForegroundColor White Write-Host " 5. Configureer security dashboards voor monitoring" -ForegroundColor White Write-Host "" Write-Host " Power Platform Configuratie:" -ForegroundColor Cyan Write-Host "" Write-Host " 1. Navigeer naar admin.powerplatform.microsoft.com" -ForegroundColor White Write-Host " 2. Ga naar Data → Data loss prevention" -ForegroundColor White Write-Host " 3. Maak DLP policies die beveiligingsregels definiëren" -ForegroundColor White Write-Host " 4. Configureer policies voor Power Apps en Power Automate" -ForegroundColor White Write-Host " 5. Gebruik Power Platform Checker voor solution scanning" -ForegroundColor White Write-Host "" Write-Host " Aanbevolen configuratie:" -ForegroundColor Cyan Write-Host " - Integreer scanning in alle CI/CD pipelines" -ForegroundColor White Write-Host " - Stel blocking policies in voor kritieke beveiligingsproblemen" -ForegroundColor White Write-Host " - Configureer secret scanning voor alle repositories" -ForegroundColor White Write-Host " - Activeer dependency scanning voor kwetsbaarheidsdetectie" -ForegroundColor White Write-Host " - Stel een proces op voor het behandelen van false positives" -ForegroundColor White Write-Host " - Monitor code scanning metrics regelmatig" -ForegroundColor White Write-Host "" if ($WhatIf) { Write-Host " [WhatIf] Zou configuratie-instructies genereren" -ForegroundColor Yellow Write-Host " [WhatIf] Zie bovenstaande stappen voor handmatige configuratie" -ForegroundColor Yellow return } Write-Host " PowerShell ondersteuning:" -ForegroundColor Cyan Write-Host " Dit script kan de configuratie niet direct aanpassen via PowerShell." -ForegroundColor White Write-Host " Gebruik de bovenstaande stappen voor handmatige configuratie in de respectieve portals." -ForegroundColor White Write-Host "" Write-Host " Alternatief: API Integratie" -ForegroundColor Cyan Write-Host " Voor geavanceerde automatisering kunnen de GitHub API, Azure DevOps API" -ForegroundColor White Write-Host " en Power Platform Admin API worden gebruikt, maar dit vereist uitgebreide integratie." -ForegroundColor White Write-Host " Zie documentatie voor API-details." -ForegroundColor White Write-Host "" Write-Host "✅ Configuratie-instructies gegenereerd" -ForegroundColor Green Write-Host " Volg de bovenstaande stappen om code scanning handmatig te configureren" -ForegroundColor Yellow exit 0 } function Invoke-Remediation { <# .SYNOPSIS Configureert code scanning #> [CmdletBinding()] param() New-CodeScanningConfiguration } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Code Scanning" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Connect to services Connect-RequiredServices # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check $result = Test-CodeScanningConfiguration Write-Host "`n Code Scanning Status:" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "`n✅ BASISCONFIGURATIE OK" -ForegroundColor Green Write-Host " Verifieer volledige configuratie in respectieve portals" -ForegroundColor Yellow } else { Write-Host "`n⚠️ VERIFICATIE VEREIST" -ForegroundColor Yellow Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation voor configuratie-instructies" -ForegroundColor Yellow } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " • $recommendation" -ForegroundColor White } } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder code scanning worden beveiligingsproblemen in applicatiecode niet gedetecteerd totdat ze worden geëxploiteerd door aanvallers, wat leidt tot data breaches (gemiddeld 207 dagen detectietijd vs. minuten met scanning), ongeautoriseerde toegang tot systemen via hardcoded credentials, compliance-schendingen door onveilige code, en reputatieschade. Moderne development practices zoals DevOps en agile methodologieën leiden tot frequent code deployments zonder uitgebreide security reviews, waardoor beveiligingsproblemen snel in productie kunnen komen zonder detectie.

Management Samenvatting

Implementeer code scanning voor automatische beveiligingsanalyse van applicatiecode. Code scanning detecteert beveiligingskwetsbaarheden, hardcoded credentials, kwetsbare dependencies en compliance-problemen tijdens het development proces voordat code in productie wordt geïmplementeerd. Reduceert detectietijd van 207 dagen naar minuten, voorkomt data breaches, en voldoet aan NIS2 en BIO vereisten voor secure development. Implementatie: 24 uur technisch + 32 uur voor governance, training en procesintegratie. CRITICAL voor moderne application security.