Analyse du code source


La revue du code est probablement la technique la plus efficace pour identifier les failles de sécurité dès le début du cycle de développement. Lorsqu’elle est utilisée conjointement avec des outils automatisés et des tests manuels d’intrusion, la revue de code peut augmenter de façon significative la rentabilité de votre effort de vérification de la sécurité.

C’est quoi la revue du code source ?

La revue de code source est l’examen du code développé pour y identifier les vulnérabilités. Il y a plusieurs façons d’évaluer la sécurité d’une application, il est recommandé d’effectuer plus d’une méthode pour assurer une couverture plus large d’évaluation. Les tests d’intrusion sont bien pour trouver certaines failles dont la signature technique est connue. L’analyse du code est plus adaptée aux questions liées à la protection de la vie privée, la fuite d’informations et les dénis de services. L’évaluation du code pour la localisation et la résolution des problèmes tôt dans votre cycle de développement réduit le coût et l’effort de l’assainissement et permet également aux développeurs de comprendre les failles de sécurité au niveau du code source afin de ne pas répéter les mêmes erreurs dans les développements futurs.

C’est quoi l’analyse statique du code source ?

L’analyse statique de code est généralement effectuée dans le cadre d’une revue de code source;  L’analyse statique de code fait souvent référence à l’exécution d’outils d’analyse automatique de code pour tenter de mettre en évidence les vulnérabilités éventuelles en utilisant plusieurs techniques (Taint Analysis, Data Flow Analysis, Control Flow Graph, et Lexical Analysis). Idéalement, ces outils devraient automatiquement trouver des failles de sécurité avec un degré de confiance élevé et avec peu de faux-positifs. Mais ceci est au-delà de l’état de l’art pour de nombreux types de failles de sécurité applicatives. Ces outils servent souvent comme des aides pour nos analystes du code afin qu’ils puissent trouver des failles plus efficacement, plutôt que d’un outil qui trouve tout simplement automatiquement les défauts de sécurité.

Revue de code orientée sécurité par ADAM RIDSON

La revue sécuritaire du code source vise à identifier les failles de sécurité liées aux caractéristiques techniques et la conception des applications ainsi que leurs causes profondes exactes. Avec la complexité croissante des applications et l’avènement des nouvelles technologies, les tests traditionnels de sécurité peuvent ne pas détecter toutes les failles de sécurité présentes dans les applications. Ainsi, il est nécessaire de comprendre le code de l’application, des composants externes, les technologies et les configurations pour pouvoir déraciner toutes les failles dans différents types d’applications. Une telle plongée en profondeur dans le code de l’application permet également de déterminer les techniques d’atténuation précises qui peuvent être utilisées pour éviter les failles de sécurité.

contacter un expert pour plus de détails sur les avantages de la revue du code source.