GNU/Linux Magazine Hors-série N°
Numéro
97

Les bonnes pratiques du développement sécurisé

Temporalité
Juillet/Août 2018
Image v3
Dossier : Les bonnes pratiques du développement sécurisé
Article mis en avant

Dans ce numéro...


Édito
Par Colombo Tristan
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Colombo Tristan
Des virus et ransomware circulent de par le monde, ce n'est un secret pour personne. En 2017, deux cyberattaques ont été mises en avant : WannaCry en mai et NotPetya en juin. Adylkuzz qui opérait durant la même période n'a par exemple pas ou peu été cité.
> Lire l'extrait
Brèves - Juillet / Août 2018
Par Colombo Tristan
Système
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Colombo Tristan
GitHub lance son Learning Lab
> Lire l'extrait
Côté livres…
Par La rédaction
Humeur et Critique
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| La rédaction
Voici une sélection d'ouvrages pour la plupart récemment sortis ou sur le point de sortiret qui ont attiré notre attention.
> Lire l'extrait
OWASP Top10 : le palmarès pour 2018
Par Gioria Sébastien
Sécurité réseau Sécurité du code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Gioria Sébastien
Quel développeur ne connaît pas l’OWASP Top10 ? Il semble qu’en 2018 un nombre encore trop important ne le connaît pas, ou mal. Je vous propose donc de vous détailler ce référentiel pour faire en sorte que vos applications web disposent d’un niveau de sécurité considéré suffisant.
> Lire l'extrait
PostgreSQL 10, quelques nouvelles fonctionnalités
Par Lelarge Guillaume
Système Data / Big Data
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Lelarge Guillaume
La version 10 de PostgreSQL est sortie depuis quelques mois, il est temps de faire un tour des nouvelles fonctionnalités et des changements majeurs. Ce premier article va discuter de différents points particulièrement intéressants, mais les trois grosses nouveautés, à savoir le partitionnement, la réplication logique et les améliorations au niveau performance et supervision seront abordées chacune dans leur propre article.
> Lire l'extrait
Comprendre la compilation Just-In-Time
Par Ducroquet Pierre
Code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Ducroquet Pierre
Les navigateurs web se livrent depuis quelques années une nouvelle guerre, axée principalement autour des performances de leur moteur JavaScript. Tous les navigateurs modernes utilisent désormais une compilation JIT pour accélérer le JavaScript. Mais qu'est-ce que c'est, comment ça marche et quelles en sont les implications ?
> Lire l'extrait
Retour d’expérience d’intégration des aspects sécurité dans un cycle de développement logiciel
Par Butti Laurent
Sécurité du code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Butti Laurent
Intégrer correctement l’ensemble des aspects sécurité dans un cycle de développement logiciel requiert une certaine maturité et des efforts conséquents. C’est à ce prix que nous pouvons avoir confiance dans la qualité des services développés. Nous présenterons dans cet article un état de l’art sur le sujet et nous décrirons l’ensemble des aspects qui entre en ligne de compte tout en s’efforçant d’apporter un retour d’expérience.
> Lire l'extrait
Expérimentations autour de l'injection de code en Python
Par Colombo Tristan
Sécurité du code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Colombo Tristan
Python est un langage pratique, car de haut niveau et permettant donc de coder plus rapidement. Il ne faut pas pour autant oublier la sécurité du code, certaines fonctions étant particulièrement vulnérables...
> Lire l'extrait
Java : comment utiliser correctement son gestionnaire de sécurité
Par Pelisse Romain
Code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Pelisse Romain
Les problématiques liées à la sécurité, sans surprise, ne font que se multiplier depuis plusieurs années. Java étant une technologie très utilisée pour le développement d’applications « Web » , la machine virtuelle, à la base de sa technologie, a donc été plusieurs fois victime de ses faiblesses en termes de sécurité. Ceci soulève parfois le doute quant à la fiabilité des applicatifs déployés sur la plateforme. Pourtant, cette machine virtuelle dispose d’un modèle de sécurité très robuste, basé sur son fameux gestionnaire de sécurité et qui offre une grande protection contre l’exploitation de failles au sein des applicatifs. Malheureusement, celui-ci n’est que peu trop souvent utilisé en protection. Faisons donc un petit tour de ses fonctionnalités pour bien comprendre en quoi celle du langage est une arme essentielle contre les attaques informatiques.
> Lire l'extrait
Le renforcement de la sécurité des applications et sites web avec CSP
Par Contensin Magali, Andujar Mariana
Sécurité réseau Sécurité du code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Contensin Magali, Andujar Mariana
CSP définit une politique de sécurité de contenu de l'application web, qui fixe les listes des sources de confiance pour ses ressources (scripts, styles, images, etc.). Le navigateur bloque les téléchargements vers les sources non autorisées, ce qui élimine des attaques côté client, telles que le XSS.
> Lire l'extrait
Quels outils pour l'audit d'intrusions d'applications web ?
Par Douhine Davy, Lopes Guillaume
Réseau Pentest
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Douhine Davy, Lopes Guillaume
L'évaluation de la sécurité d'une application web n'est pas chose aisée. Les technologies et frameworks se multiplient et la pression sur la mise en production des applications augmente. Dans cet environnement actuel, il devient de plus en plus difficile de s'assurer qu'aucun défaut de sécurité ne sera présent lors de la mise en production. Cet article a pour but de présenter les différents outils (libres et gratuits), ainsi que les techniques pouvant être utilisées pour identifier les faiblesses de sécurité que l'on rencontre fréquemment en audit.
> Lire l'extrait
Les options pour faire du compilateur C un ami qui vous veut du bien
Par Levillain Olivier
Code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Levillain Olivier
Développer du code de manière sécurisée est une tâche complexe qui demande une attention de chaque instant. C’est d’autant plus vrai dans des langages relativement bas niveau comme le C, où les erreurs peuvent mener à des corruptions de la mémoire avec de graves conséquences sur la sécurité. Cependant, les compilateurs modernes offrent de nombreuses options pour détecter des comportements erronés et vous alerter de l’existence possible de problèmes dans votre code. Cet article présente certaines de ces options, qui vous aideront à produire du code de meilleure qualité et plus sécurisé, pour un effort modéré.
> Lire l'extrait
Découverte de Frama-C, l'un des outils incontournables d'analyse de code en C
Par Colombo Tristan
Code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Colombo Tristan
Malgré son nom, Frama-C n'est pas un énième clone libre d'une solution reconnue éditée par Framasoft. Il s'agit d'un framework d'analyse et de preuve de code C, doté d'une interface graphique facilitant son utilisation. Cet article permettra de se familiariser avec cet outil pour que vous vous assuriez que vos programmes font bien ce que vous attendez d'eux.
> Lire l'extrait
Gros plan sur les attaques par canaux auxiliaires : entretien avec Clémentine Maurice, chercheuse en sécurité
Par Gaspar Émilien (gapz)
Témoignage
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Gaspar Émilien (gapz)
Clémentine est chercheuse au CNRS et s'intéresse aux attaques sur la micro-architecture. Elle a accepté de répondre à nos questions et de nous éclairer sur son domaine de recherche.
> Lire l'extrait
A quoi servent les coredumps lorsque l'un de vos programme crashe ?
Par Ben Youssef Sami
Code
Marque
GNU/Linux Magazine
HS n°
Numéro
97
|
Mois de parution
juillet 2018
| Ben Youssef Sami
On sait tous que chaque avion est systématiquement équipé d’une boîte noire et on est évidemment conscient de l’utilité de cette dernière essentiellement lors d’un crash. Peut-on équiper nos processus d’une boîte noire qui conserve les conditions d’un crash ?Les coredumps, que l’on va étudier tout au long du présent article, jouent un rôle semblable à celui d’une boîte noire pour les binaires exécutables qu’on va lancer. On vous invite à découvrir et à profiter de ces fichiers binaires.
> Lire l'extrait

Magazines précédents

Vision assistée par ordinateur avec OpenCV
GNU/Linux-Magazine Hors-série N°96
Vision assistée par ordinateur avec OpenCV
Mémo Python - Saison 2 : 59 nouvelles recettes pour accélérer vos développements !
GNU/Linux-Magazine Hors-série N°95
Mémo Python - Saison 2 : 59 nouvelles recettes pour accélérer vos développements !
Machine Learning : le guide pratique pour démarrer en Intelligence Artificielle
GNU/Linux-Magazine Hors-série N°94
Machine Learning : le guide pratique pour démarrer en Intelligence Artificielle
Sécurisez votre infrastructure Linux
GNU/Linux-Magazine Hors-série N°93
Sécurisez votre infrastructure Linux
Le guide indispensable pour installer et configurer votre VPN
GNU/Linux-Magazine Hors-série N°92
Le guide indispensable pour installer et configurer votre VPN
Créez, publiez & monétisez votre application avancée Android
GNU/Linux-Magazine Hors-série N°91
Créez, publiez & monétisez votre application avancée Android

Les derniers articles Premiums

Les derniers articles Premium

La place de l’Intelligence Artificielle dans les entreprises

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Société
IA
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture
Petit guide d’outils open source pour le télétravail

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Système
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture
Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Auteurs
Par
Blachowiak Thomas
Spécialité(s)
Sécurité du code
Web
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Ajouter à une liste de lecture
Bash des temps modernes

Bash des temps modernes

Magazine
Marque
Contenu Premium
Auteurs
Par
Pelisse Romain
Spécialité(s)
Système
Résumé

Les scripts Shell, et Bash spécifiquement, demeurent un standard, de facto, de notre industrie. Ils forment un composant primordial de toute distribution Linux, mais c’est aussi un outil de prédilection pour implémenter de nombreuses tâches d’automatisation, en particulier dans le « Cloud », par eux-mêmes ou conjointement à des solutions telles que Ansible. Pour toutes ces raisons et bien d’autres encore, savoir les concevoir de manière robuste et idempotente est crucial.

Ajouter à une liste de lecture
Voir les 48 articles premium
Body