Dependency-Check correcte naam

Content/Maatregelen/M16/Maatregel.md

@@ -14,7 +14,7 @@ ICTU adviseert en ondersteunt voor de genoemde taken onderstaande tools. Project
 6. maken van testrapportages: JUnit, Robot Framework, TestNG, of hiermee compatible tools,
 7. maken van kwaliteitsrapportages: Quality-time,
 8. controleren van de configuratie op aanwezigheid van bekende kwetsbaarheden in configuratie: OpenVAS (Vulnerability Assessment System),
-9. controleren op aanwezigheid van bekende kwetsbaarheden in externe software: OWASP (Open Web Application Security Project) Dependency Checker en/of Dependency-Track,
+9. controleren op aanwezigheid van bekende kwetsbaarheden in externe software: OWASP (Open Web Application Security Project) Dependency-Check en/of Dependency-Track,
 10. statische controle van de software op aanwezigheid van kwetsbare constructies: SonarQube,
 11. dynamische controle van de software op aanwezigheid van kwetsbare constructies: OWASP ZAP (Zed Attack Proxy),
 12. controleren van container images op aanwezigheid van bekende kwetsbaarheden: Trivy,

Content/Templates/Detailtestplan-Softwarerealisatie/Template-Inhoud.md

@@ -30,7 +30,7 @@ Binnen het project worden door ICTU de volgende testsoorten onderscheiden en toe
   + **Handmatig regressietest:** Het handmatig uitvoeren van fysieke testgevallen om de werking van de bestaande functionaliteit te controleren. Deze testgevallen zijn veelal te complex om te automatiseren.
 * Niet-functionele testen:
   + **Performancetesten:** Het testen van de snelheid van afhandeling van bepaalde functies van het systeem onder een vooraf gedefinieerde belasting. Performancetesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het volgen van de relatieve performance van verschillende versies van de software. Er vinden zowel een loadtest (normale en piekbelasting), als een duurtest (normale belasting voor langere tijd), als een stresstest (verhogen van de belasting totdat het systeem het begeeft) plaats. De Kwaliteitsaanpak schrijft voor dat er tijdens de realisatiefase performancetesten worden uitgevoerd. Deze worden bij voorkeur automatisch uitgevoerd. Belangrijk is dat de performancetest die op de testomgeving wordt uitgevoerd, niet vanzelfsprekend representatief is voor de productieomgeving. Dit betekent dat een opdrachtgevende organisatie op de eigen productieomgeving een performancetest moet (laten) uitvoeren om te controleren dat er aan de gestelde performance-eisen is voldaan.
-  + **Securitytesten:** Security- en penetratietesten uitgevoerd door een externe partij. Normaliter worden deze minimaal twee maal per jaar of met elke grote release uitgevoerd en niet elke sprint. Securitytesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het testen van de beveiliging van de software zelf. De securitytest is inclusief een review van de broncode. Tijdens de realisatie draaien standaard al de volgende securitytesttools mee in de geautomatiseerde pijplijn: SonarQube, OWASP dependency checker en/of Dependency-Track, OWASP ZAP en OpenVAS; de bevindingen die uit deze tools komen worden meteen tijdens de realisatie van het systeem opgepakt.
+  + **Securitytesten:** Security- en penetratietesten uitgevoerd door een externe partij. Normaliter worden deze minimaal twee maal per jaar of met elke grote release uitgevoerd en niet elke sprint. Securitytesten vinden bij voorkeur plaats in een productie-like omgeving, maar kunnen ook in een niet-productie-like omgeving plaatsvinden ten behoeve van het testen van de beveiliging van de software zelf. De securitytest is inclusief een review van de broncode. Tijdens de realisatie draaien standaard al de volgende securitytesttools mee in de geautomatiseerde pijplijn: SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP en OpenVAS; de bevindingen die uit deze tools komen worden meteen tijdens de realisatie van het systeem opgepakt.
 * **Integratietesten:** Tijdens deze test wordt de onderlinge verwerkingswijze tussen de verschillende applicaties getest. Denk hierbij aan gewijzigde applicaties die samen werken met ongewijzigde applicaties. Indien van toepassing zullen hier ook externe systemen bij betrokken worden, in de vorm van stubs. Integratietesten zijn normaal gesproken geautomatiseerde tests. Als onderdeel van de integratietesten wordt getest of de software kan omgaan met fouten in andere applicaties en na een herstart goed blijft functioneren.
 * **Gebruikersacceptatietest (GAT):** In tegenstelling tot de ‘traditionele’ watervalmethode biedt agile ontwikkelen meer ruimte voor de gebruiker om te participeren in het ontwikkeltraject. Tijdens elke sprint wordt nieuwe functionaliteit gedemonstreerd door het Scrumteam in een demo-omgeving. {opdrachtgevende organisatie} en/of beheerorganisatie kan een GAT-testomgeving beschikbaar stellen waar gebruikers kunnen werken met de nieuwe applicaties. Bevindingen worden tijdens trainingen of workshops verzameld om in de backlogs verwerkt te worden. De product owner prioriteert vervolgens deze bevindingen.
 * **Usabilitytesten:** Het doel van deze test is om te bepalen hoe gemakkelijk / toegankelijk het systeem is in het gebruik ervan. Onderdeel van deze test is de toegankelijkheidstest; hiermee wordt bepaald in welke mate de software voldoet aan de wettelijke vereisten van de Web Content Accessibility Guidelines (WCAG2.2) en eventuele aanvullende toegankelijkheidseisen. Deze toegankelijkheidstesten worden waar mogelijk geautomatiseerd uitgevoerd. De toegankelijkheidseisen die niet geautomatiseerd getest kunnen worden, worden periodiek handmatig getest.

Content/Templates/Inwerkplan-Kwaliteitsmanager/Template-Inhoud.md

@@ -174,7 +174,7 @@ Acties (week 3):
 * Je hebt toegang tot het versiebeheersysteem van je project (GitLab of Azure DevOps)
 * Je hebt toegang tot de build server van je project (GitLab CI, Azure DevOps of Jenkins)
 * Je hebt toegang tot je project in [Jira](https://jira.ictu-sd.nl/jira/)
-* Je hebt toegang tot de securityrapportages in de build pipeline (OWASP Dependency Check, OWASP ZAP, OpenVAS)
+* Je hebt toegang tot de securityrapportages in de build pipeline (OWASP Dependency-Check, OWASP ZAP, OpenVAS)
 * Je hebt toegang tot de toegankelijksrapportage (Axe) in de build pipeline
 * Je hebt toegang tot de testrapportages in de build pipeline (Robot Framework, JUnit, Cypress, etc.)
 * Je hebt toegang tot de Dependency-Track instantie van je project

Content/Templates/Kwaliteitsplan/Specifieke-Bijlagen.md

@@ -97,7 +97,7 @@ Ondanks dat het de voorkeur heeft zoveel mogelijk kwaliteitsaspecten van de soft
 | Vrijgaveadvies                               | Kwaliteitsplan §5.1.3    | Het project levert de afgesproken informatie ten behoeve van het vrijgaveadvies                                                      |
 | Kwaliteit broncode                           | Kwaliteitsplan §5.3      | Onderdrukte SonarQube-waarschuwingen zijn afgestemd en (nog steeds) terecht                                                          |
 | Kwaliteit broncode                           | Kwaliteitsplan §5.3      | De kwaliteit van de broncode voldoet bij een steekproefsgewijze, handmatige inspectie aan de eisen                                   |
-| Beveiliging broncode                         | Kwaliteitsplan §5.10     | Onderdrukte beveiligingsbevindingen uit OWASP Dependency Check, Dependency-Track en SonarQube zijn afgestemd en (nog steeds) terecht |
+| Beveiliging broncode                         | Kwaliteitsplan §5.10     | Onderdrukte beveiligingsbevindingen uit OWASP Dependency-Check, Dependency-Track en SonarQube zijn afgestemd en (nog steeds) terecht |
 | Beveiligingstesten                           | Kwaliteitsplan §5.10     | Beveiligingsissues uit securitytesten zijn opgenomen in Jira en volgens de oplostermijnen opgelost                                   |
 | Projectspecifieke kwaliteitsmaatregelen      | Kwaliteitsplan §5.16     | Projectspecifieke maatregelen zijn uitgevoerd zoals afgesproken                                                                      |
 | Projectafsluiting                            | Kwaliteitsplan §6        | Projectafsluiting is conform de afspraken uitgevoerd                                                                                 |

Content/Templates/Kwaliteitsplan/Template-Inhoud.md

@@ -280,7 +280,7 @@ Quality-time rapporteert over de geautomatiseerde performancetesten. Als de vera
 
 De eisen aan de beveiliging worden in de documenten projectstartarchitectuur en niet-functionele eisen gedefinieerd. De in te richten testen dienen aan te tonen dat aan de gestelde beveiligingseisen wordt voldaan.
 
-De geautomatiseerde broncodereviews en rapportages uit Quality-time bevatten diverse metrieken voor beveiligingsaspecten, zoals de OWASP Top-10-criteria. De applicatie wordt gescand met behulp van SonarQube, OWASP dependency checker en/of Dependency-Track, OWASP ZAP en OpenVAS.
+De geautomatiseerde broncodereviews en rapportages uit Quality-time bevatten diverse metrieken voor beveiligingsaspecten, zoals de OWASP Top-10-criteria. De applicatie wordt gescand met behulp van SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP en OpenVAS.
 
 Om de beveiliging van de software te testen kan deze met enige regelmaat getest worden door een externe partij. Het MTP beschrijft de gekozen aanpak.
 

Content/Templates/PvA-Realisatiefase/Template-Inhoud.md

@@ -29,7 +29,7 @@ ICTU levert de volgende producten en diensten op:
 Binnen de scope van de opdracht valt de {ontwikkeling en/of het onderhoud} van {het product}, inclusief:
 
 * Ontwikkel, test- en demo-omgevingen,
-* Engineering tools voor versiebeheer (GitLab of Azure DevOps), bouwen en testen (Azure DevOps, GitLab en/of Jenkins), kwaliteitscontrole (SonarQube), beveiligingscontrole (SonarQube, OWASP Dependency Checker en/of Dependency-Track, OWASP ZAP, OpenVAS), toegankelijkheid (Axe), performancetesten (JMeter) en integrale kwaliteitsrapportage (Quality-time),
+* Engineering tools voor versiebeheer (GitLab of Azure DevOps), bouwen en testen (Azure DevOps, GitLab en/of Jenkins), kwaliteitscontrole (SonarQube), beveiligingscontrole (SonarQube, OWASP Dependency-Check en/of Dependency-Track, OWASP ZAP, OpenVAS), toegankelijkheid (Axe), performancetesten (JMeter) en integrale kwaliteitsrapportage (Quality-time),
 * {Als operationeel beheer onderdeel is van de dienstverlening:} Uitrollen in de productieomgeving (Ansible), container registry (Harbor), performance monitoring (APM), security monitoring ({vul aan met concreet product}), controle van kwetsbaarheden in frameworks ({vul aan met concreet product}), controle van images van containers (Trivy), registratie van incidenten bij gebruik en beheer (Topdesk of Jira).
 * Backlog management tools (Jira en/of Azure DevOps),
 * Beveiligings- en performancetesten in de ICTU-testomgevingen. ICTU voert deze tests uit voordat een nieuwe versie van de software wordt opgeleverd. {Beschrijf hier eventuele andere afspraken met de opdrachtgevende organisatie}.

Content/Wijzigingsgeschiedenis.md

@@ -1,3 +1,9 @@
+### [Unreleased]
+
+#### Alle documenten
+
+* "OWASP Dependency-Check" consistent gespeld.
+
 ### Versie 4.0.0, 26 april 2024
 
 #### Kwaliteitsaanpak