Het belangrijkste verschil tussen de twee rapportagevormen is dat een NCSC-rapportage uitgebreider is dan een OWASP Top 10-rapportage. Naast de gevonden kwetsbaarheden beschrijft een NCSC-rapportage ook welke onderdelen veilig zijn bevonden. Deze rapportage is doorgaans geschikt voor certificeringstrajecten en audits, zoals het verkrijgen van een assurancerapportage (TPM-verklaring), en wordt alleen gebruikt bij uitgebreidere pentesten.
Wat is een OWASP Top 10-rapportage?
Een OWASP Top 10-rapportage is gebaseerd op de OWASP Top 10 Application Security Risks (versie 2021) van het Open Worldwide Application Security Project (OWASP). Voor meer informatie, zie de OWASP-website.
Het OWASP stelt periodiek een lijst op van de tien grootste beveiligingsrisico's voor webapplicaties en andere systemen. De eerste Top 10 verscheen in 2003 en heeft tot doel het bewustzijn over IT-beveiliging te verhogen. Omdat het veld voortdurend evolueert, wordt deze lijst regelmatig bijgewerkt.
Deze rapportage is korter en technischer van aard, zodat ontwikkelaars er direct mee aan de slag kunnen.
Wat is een NCSC-rapportage?
Een NCSC-rapportage is gebaseerd op het document "ICT-Beveiligingsrichtlijnen voor Webapplicaties" (versie 2019) van het Nationaal Cyber Security Centrum. Deze richtlijnen bieden een leidraad voor het veilig ontwikkelen, beheren en aanbieden van webapplicaties en hun infrastructuur. Voor meer informatie, zie de NCSC-website.
De NCSC-richtlijnen, opgesteld door de overheid, worden gezien als een solide check voor webapplicatiebeveiliging. Ze zijn waardevol voor certificeringstrajecten of audits, zoals DigiD, ISO27001, MedMij, AVG/GDPR, en NIS2 compliance.
Een NCSC-rapportage bevat ook een managementsamenvatting en een gedetailleerd overzicht van alle bevindingen, inclusief zowel kwetsbaarheden als veilig bevonden onderdelen.