Retour d’expérience d’intégration des aspects sécurité dans un cycle de développement logiciel

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
|
Domaines


Résumé
Intégrer correctement l’ensemble des aspects sécurité dans un cycle de développement logiciel requiert une certaine maturité et des efforts conséquents. C’est à ce prix que nous pouvons avoir confiance dans la qualité des services développés. Nous présenterons dans cet article un état de l’art sur le sujet et nous décrirons l’ensemble des aspects qui entre en ligne de compte tout en s’efforçant d’apporter un retour d’expérience.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Sécurisation d’un serveur NGINX

Magazine
Marque
GNU/Linux Magazine
Numéro
238
|
Mois de parution
juin 2020
|
Domaines
Résumé

Suite à l'annonce des principaux navigateurs de considérer les sites internet sans chiffrement comme non sécurisés, voire dangereux, à laquelle s'ajoutent les besoins de confidentialité pour les visiteurs et des règles de référencement imposées par les moteurs de recherche, il devient inimaginable de mettre en ligne un serveur sans HTTPS. Voyons donc comment mettre en place cette sécurité, facilement et à moindres frais, sur notre serveur web.

Chipsec, un outil pour les tests de conformité des firmwares

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

La vérification qu'une plateforme PC est correctement configurée pour limiter l'exposition de celle-ci est fastidieuse et complexe si elle est effectuée manuellement. L'outil Chipsec permet de faciliter grandement ces opérations, tant par son support des différents modes d'accès que par celui des différentes plateformes. Cet article présente son fonctionnement interne et son utilisation à des fins de tests de conformité.

9P, le protocole parfait pour l’IoT

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

Plutôt que de faire passer du JSON sur la couche HTTP, faisons un saut dans le passé pour voir à quoi le futur pourrait ressembler. Développé à partir de la fin des années 80 à Bell Labs, le système d’exploitation Plan 9 utilise le protocole 9P pour rendre le réseau cohérent, sûr et transparent, trois caractéristiques qui manquent à l’IoT...

Secure Software Development LifeCycle

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

Selon IBM, en 2019 il fallait en moyenne 206 jours pour identifier une brèche de sécurité puis 108 jours pour que la correction soit effective. Quelles sont les mesures à mettre en place pour découvrir les vulnérabilités des applications avant qu’elles ne soient déployées en production ?

Utiliser le CVE-2020-0601 pour obtenir un accès à distance via un navigateur

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

De nombreuses applications tierces se basent sur les API Windows pour vérifier les signatures des binaires avant installation ou chargement. En particulier, des plugins de navigateurs peuvent permettre le déploiement de programmes pour l'ajout de fonctionnalités ou les mises à jour. La parution du CVE-2020-0601 ouvre une surface d'attaque inédite pour tous ces plugins.

Par le même auteur

Gérez vos listes avec le framework IPset et le pare-feu Netfilter

Magazine
Marque
GNU/Linux Magazine
Numéro
221
|
Mois de parution
décembre 2018
|
Domaines
Résumé
La brique pare-feu Linux (Netfilter) n'est plus à présenter. Le framework IPset est relativement méconnu bien qu’utilisable conjointement avec Netfilter. Nous proposons dans cet article de présenter le mode de fonctionnement et l'utilisation de ce framework intégré au noyau Linux ainsi que ses principaux avantages pour gérer certains cas de filtrage réseau avec Netfilter.

WPS : fonctionnement et faiblesses

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
99
|
Mois de parution
novembre 2018
|
Domaines
Résumé
Les réseaux sans fil Wi-Fi, de par leur accessibilité, sont naturellement exposés aux attaques. De nombreuses améliorations ont été apportées via le groupe de normalisation IEEE 802.11i depuis les failles historiques sur le protocole Wired Equivalent Privacy (WEP) publiées dans les années 2000. Cependant, certaines couches tierces, comme Wi-Fi Protected Setup, introduisent de nouvelles portes d’entrée au niveau de la fonctionnalité d’attachement d’équipement. Nous présenterons les modes de fonctionnement de WPS, ses faiblesses actuelles, les moyens de protection et les prochaines évolutions.

Votre SIEM à portée de main avec ElasticSearch/ElastAlert

Magazine
Marque
MISC
Numéro
98
|
Mois de parution
juillet 2018
|
Domaines
Résumé
Nous présentons dans cet article une étude préalable de l’outil ElastAlert en tant que SIEM dans un environnement avec stockage d’événements dans ElasticSearch. Nous aborderons les principes de fonctionnement et les principales fonctionnalités rendues par l’outil ainsi qu’un retour d’expérience de son utilisation opérationnelle.

Retour d’expérience d’intégration des aspects sécurité dans un cycle de développement logiciel

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
|
Domaines
Résumé
Intégrer correctement l’ensemble des aspects sécurité dans un cycle de développement logiciel requiert une certaine maturité et des efforts conséquents. C’est à ce prix que nous pouvons avoir confiance dans la qualité des services développés. Nous présenterons dans cet article un état de l’art sur le sujet et nous décrirons l’ensemble des aspects qui entre en ligne de compte tout en s’efforçant d’apporter un retour d’expérience.

Protégez-vous avec ModSecurity, le pare-feu web open source

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
93
|
Mois de parution
novembre 2017
|
Domaines
Résumé
Le « Web Application Firewall » (WAF), bien qu'encore assez marginal, est un élément clé dans la protection des architectures web exposées sur Internet. Dans cet article, nous détaillerons le fonctionnement du pare-feu applicatif le plus utilisé dans le monde open source : ModSecurity. Nous présenterons ses principales fonctionnalités ainsi que les points clés dans la réussite de son déploiement, en particulier vis-à-vis des contraintes de l'utilisation d'une telle technologie dans des sites à forte audience.

Automatisation des tests de sécurité en environnement web avec Mozilla Minion

Magazine
Marque
MISC
Numéro
89
|
Mois de parution
janvier 2017
|
Domaines
Résumé
L'automatisation des tests de sécurité, que ce soit en phase de développement ou en environnement de production, est un élément clé de réussite de la réduction des risques (découverte au plus tôt des vulnérabilités et déclenchement des processus de correction). Dans cet article, nous présenterons nos choix et notre retour d'expérience dans la mise en œuvre de tests de sécurité automatisés en environnement de production.