Secure Software Development LifeCycle

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Domaines


Résumé

Selon IBM, en 2019 il fallait en moyenne 206 jours pour identifier une brèche de sécurité puis 108 jours pour que la correction soit effective. Quelles sont les mesures à mettre en place pour découvrir les vulnérabilités des applications avant qu’elles ne soient déployées en production ?


Pour éviter l’exploitation d’une vulnérabilité par un individu malveillant, le plus simple est de mettre en production uniquement des applications pour lesquelles la sécurité a été testée et validée. Le 100 % sécurisé n’existant pas, cet article propose un ensemble de mesures et bonnes pratiques permettant de diminuer ce risque de déployer une application vulnérable. Les exemples ci-dessous sont principalement orientés pour une application exposée sur le Web, mais une transposition pour d’autres types d’applications est possible.

1. Software Development LifeCycle (SDLC)

Au cours de la vie d’un produit logiciel, indépendamment du mode de gestion de projet choisi (agile, cycle en V, etc.), plusieurs étapes sont nécessaires, allant de la définition du besoin à la maintenance en phase de production.

1.1 Définition du besoin

Avant le démarrage de la construction, une analyse est effectuée pour déterminer les fonctionnalités, la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[BEEF] BeEF (Browser Exploitation Framework) : https://beefproject.com

[CORNUCOPIA] OWASP Cornucopia : https://owasp.org/www-project-cornucopia

[EBIOS] Methode EBIOS par l’ANSSI : https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite

[MEHARI] Méthode MEHARI : http://meharipedia.x10host.com/wp

[ASVS] OWASP Application Security Verification Standard : https://owasp.org/www-project-application-security-verification-standard

[DT] OWASP Dependency Track : https://dependencytrack.org

[SNYK] Snyk : https://snyk.io

[GITHUB] About security alerts for vulnerable dependencies : https://help.github.com/en/github/managing-security-vulnerabilities/about-security-alerts-for-vulnerable-dependencies

[FSB] FindSecurityBugs : https://find-sec-bugs.github.io

[BANDIT] Bandit : https://bandit.readthedocs.io/en/latest

[SCS] Security Code Scan : https://security-code-scan.github.io

[PSA] phpcs-security-audit : https://github.com/FloeDesignTechnologies/phpcs-security-audit

[SONAR] SonarQube : https://www.sonarqube.org/

[CHECKMARX] Checkmarx cxSAST : https://www.checkmarx.com/products/static-application-security-testing

[CC] Cucumber : https://cucumber.io

[RF] RobotFramework : https://robotframework.org

[ARACHNI] Arachni Web Application Security Scanner Framework : https://www.arachni-scanner.com

[QUALYS] Qualys Web Application Scanning : https://www.qualys.com/lp/web-app-security

[ZAP] OWASP RAP : https://owasp.org/www-project-zap

[OPENSAMM] OWASP SAMM : https://owaspsamm.org

[BSIMM] Building Security In Maturity Model : https://www.bsimm.com

[SAFECode] Software Assurance Forum for Excellence in Code : https://safecode.org

[OPENRASP] OpenRASP de Baidu : https://github.com/baidu/openrasp

[SQREEN] Sqreen : https://www.sqreen.com



Articles qui pourraient vous intéresser...

Introduction au pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Il n’y a plus une semaine sans qu’une grande entreprise ne révèle publiquement qu’elle a été victime d’un piratage informatique. Entreprises privées, institutions publiques, et même sociétés de services spécialisées dans la cybersécurité, aucun secteur n’est épargné. Des technologies en évolution et en augmentation perpétuelles, et la prolifération incessante d’équipements connectés (IoT) ne vont pas inverser la tendance, mais bien au contraire élargir la surface d’attaque et donc augmenter les piratages.

Tirez parti des nouveautés de PostgreSQL 13

Magazine
Marque
GNU/Linux Magazine
Numéro
245
Mois de parution
février 2021
Domaines
Résumé

Le 24 septembre 2020 est sortie la version 13 de PostgreSQL. Elle comprend de nombreuses nouvelles fonctionnalités. Certaines ont pour cible les utilisateurs et développeurs, d’autres sont pour les administrateurs. La première version corrective de cette branche, la 13.1, est sortie le 12 novembre et cela nous semble une bonne occasion de regarder en profondeur certaines de ces nouveautés.

Gestion de projets avec Erlang/OTP

Magazine
Marque
GNU/Linux Magazine
Numéro
245
Mois de parution
février 2021
Domaines
Résumé

Un langage de programmation se doit d’être facile d’accès, que ce soit pour son apprentissage, la réalisation de concepts ou de produits finaux. La création de projets en Erlang se fait via les notions d’application et de release. Couplés à différents outils internes ou fournis par la communauté, ces principes permettent de créer un environnement de production flexible et maintenable sur le long terme, tout en facilitant la diffusion et le partage des modules conçus par les créateurs.

Mise en pratique du pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article.