Scribd Logo
Importer

Bienvenue sur Scribd !

  • 4 AuditDeCode - 5SOA

    Transféré par

    mbaye ndoye diallo
    16 vues10 pages

    Titre original

    4 AuditDeCode- 5SOA

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    16 vues10 pages

    4 AuditDeCode - 5SOA

    Transféré par

    mbaye ndoye diallo

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 10

    Audit de code

    ECOLE
    ECOLE IT
    IT –– 5SOA
    5SOA -- Année
    Année Académique
    Académique 2023-2024
    2023-2024 –– ©
    © Tous
    Tous droits
    droits réservés
    réservés
    Résumé
    • Principe
    • Avantages vs Inconvénients
    • Utilisations

    ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


    Audit de code
    Principe

    ECOLE IT – 5SOA- Année Académique 2023-2024 – © Tous droits réservés


    Principe
    L'analyse du code source est le processus consistant à détecter :

    Les mauvaises habitudes de codage,

    Les vulnérabilités potentielles ;

    Les défauts de sécurité dans le code source d'un logiciel… sans pour autant exécuter
    ces derniers ;

    L’analyse de code ne remplace pas un audit de sécurité : elle est complémentaire !

    SAST :
    • Analyse du code

    • Analyse de dépendances

    DAST :
    • Analyse à l’exécution

    ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


    Audit de code
    Avantages vs Inconvénients

    ECOLE IT – 5SOA- Année Académique 2023-2024 – © Tous droits réservés


    Avantages vs Inconvénients

    On lance des scans sur le code source ou les artefacts à la


    recherche de vulnérabilités

    Avantages Inconvénients

     Très facilement automatisable  Analyse complémentaire


     nécessaire
    Très simple d’utilisation
     Dépendance aux frameworks /
     Actionnable dès le début du
    langages / moteur de template
    développement
    utilisés
     Pas besoin d’un environnement
     Ne couvre pas la logique métier
    d’exécution de l’application
      Ne remonte pas les vulnérabilités
    Potentielle exhaustivité sur
    runtime
    certaines catégories de
    vulnérabilités
     Aide à la correction

    ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


    Audit de code
    Utilisations

    ECOLE IT – 5SOA- Année Académique 2023-2024 – © Tous droits réservés


    Utilisations
    La fréquence d’utilisation va beaucoup dépendre du rythme de développement :


    Pas nécessairement à chaque commit ;

    Au moins à chaque version candidate à la production ;

    Souvent à chaque intégration d’une évolution (une évolution peut apporter des failles...).

    Les objectifs premiers sont :



    Avoir une vue de la dette sécurité ;

    Prioriser les efforts de remédiation de la dette ;

    S’assurer de la qualité des nouveaux développements.

    Un rapport d’audit de code est utile à condition :



    Connaissance requise des failles classiques et de leurs corrections ;

    Marquage des faux positifs.
    ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés
    A vous de jouer

    Mise en pratique : audit de code

    ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


    Avenue Alan Turing - 59410 Anzin – France
    +33 3 74 01 09 84 - contact@ecole-it.com

    www.ecole-it.com

    ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés

    Vous aimerez peut-être aussi